Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1018
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
▼
marzo
(Total:
63
)
- Herramientas Recuperación y Copia de Seguridad de ...
- El Ayuntamiento de Castellón sufre un ciberataque ...
- Instalar Chrome OS en una Raspberry Pi con FydeOS
- Mejores buscadores avanzados en Internet
- Historia del ransomware Egregor
- Tapjacking: superposiciones overlay y otros engañ...
- RetroShare: una plataforma de mensajería confidencial
- Dos vulnerabilidades críticas en plugin de Faceboo...
- CloudFlare presenta aislamiento del navegador y de...
- Nueva variante de Ransomware en América Latina: M...
- Shell informa de una violación de datos después de...
- Exploits para la vulnerabilidad crítica de F5 BIG-...
- Detienen a Vandathegod acusado de la mayor filtrac...
- Dos graves vulnerabilidades en complementos para W...
- Gestión de paquetes en Debian
- Error en Zoom permite la filtración de información...
- El fabricante Acer afectado por un ataque de ranso...
- Herramientas para escanear y auditar seguridad con...
- Mejores prácticas de seguridad en Docker
- Admitida en Estados Unidos una demanda multimillon...
- Adobe demanda un tweet de Acrobat Reader 1.0 (de h...
- Rclone: herramienta para clonar y sincronizar dire...
- Instalar un servidor VPN en una Raspberry Pi con P...
- Whonix, una distro basada en la seguridad y la pri...
- Opciones firewall para proteger una red: pfSense, ...
- El índice de Reparabilidad para dispositivos y ele...
- Zoom Escaper es un widget para Chrome para añadir ...
- Medidas prevención para evitar que un ransomware c...
- Transportes de Barcelona afectada por un ransomware
- SystemRescue 8.0: distro live rescate GNU-Linux co...
- Rescuezilla: recuperar archivos o hacer backup o i...
- Instalar un portal cautivo en una Raspberry Pi
- Aprovechan las vulnerabilidades de Exchange para s...
- Escritorio Remoto de Chrome para controlar tu PC d...
- Usuaria con apellido TRUE bloquea sistema iCloud d...
- Grave incendio del proveedor OVH en las instalacio...
- El Servicio de Empleo Publico Estatal de España (S...
- Ocultan carga útil de ObliqueRAT en imágenes para ...
- Iberia Plus restablece las contraseñas de sus clie...
- Más de 18.000 aplicaciones de iOS y Android filtra...
- El supervisor bancario europeo sufre un ciberataqu...
- Tres meses sin internet para Alcasec: el castigo a...
- Lord of the Ring(s): Nueva vulnerabilidad descubie...
- El portal Educarm (Murcia) sufre un ataque informá...
- Ventoy: herramienta para crear USB's de arranque c...
- Sistema de archivos para un pendrive, SSD, Disco D...
- Suricata - IDS/IPS - Instalación, configuración bá...
- Snort: Sistema Detección Intrusos (NIDS)
- Desinstalar App Falsa FluBot (Cabassous) de Fedex ...
- Cuatro detenidos en Barcelona por enviar 71.000 me...
- Cambiar un bit en el nombre de dominio para secues...
- ¿Qué es un keylogger? Una herramienta para espiar ...
- Power Automate Desktop permite automatizar tareas ...
- Instalar vscode (Visual Studio Code) y xDebug en K...
- Instalar Android Studio (con AVD - Android Virtual...
- Instalar Discord, Zoom, Tor, Sublime Text, Doom 3,...
- Filtran datos de 21 millones usuarios de VPN's par...
- Ciberactores Chinos atacan servidores de correo Mi...
- Alrededor del 20% de los 18,5 millones de Bitcoin ...
- Instalar complemento Netflix en Kodi en una Raspbe...
- Inteligencia Artificial consigue dar vida en forma...
- China utilizó un exploit 0-Day de la NSA años ante...
- Instalar VMware ESXi en una Raspberry Pi 4
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
En el panorama en constante evolución de la seguridad de redes, OpnSense se ha convertido en una formidable solución de firewall. Nacido de...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
Medidas prevención para evitar que un ransomware cifre y secuestre tu empresa
El ransomware es un tipo de malware que emplea el uso cifrado para secuestrar la información de la empresa víctima y solicitar un rescate. El cifrado asimétrico (clave pública) es una técnica criptográfica en la que se utilizan un par de claves para cifrar y descifrar un archivo. El delincuente genera de manera exclusiva el par de claves pública-privada para la víctima y almacena la clave privada para descifrar los archivos en su servidor. La víctima solamente podrá acceder a la clave privada tras el pago de un rescate. Utilizar un antivirus en estos casos no sirve absolutamente de nada.
Regla del 3,2,1:
3 copias de seguridad, 2 de ellas en medios diferentes y 1 en una ubicación física diferente.
- Aumento de los privilegios mediante el uso de exploits disponibles fácilmente, como EternalBlue, para ampliar los derechos de acceso. Esto permite a los ciberatacantes instalar programas como herramientas de administración en remoto (RATs, por sus siglas en inglés), y visualizar, cambiar o borrar datos, crear nuevas cuentas con todos los derechos de usuario, y desactivar el software de seguridad.
- Movimientos laterales y búsqueda a través de la red de servidores de archivos y copias de seguridad mientras están bajo el radar, con el fin de lograr el mayor impacto posible del ataque de ransomware. En menos de una hora, los ciberatacantes pueden crear un script para copiar y ejecutar el ransomware en los servidores y endpoints de una red. Para acelerar el ataque, el ransomware es capaz de priorizar su ataque sobre unidades compartidas donde incluso puede empezar por los documentos de menor tamaño y lanzar múltiples hilos en paralelo.
- Ataques remotos. Los servidores de archivos, en sí mismos, no suelen ser el objeto de ataques de ransomware, sino que reciben el ataque a través de usuarios comprometidos que cifran sus ficheros. Sin embargo, en algunos de estos asaltos, el ataque se ejecuta generalmente en uno o más endpoints comprometidos, aprovechándose de una cuenta de usuario con privilegios para atacar documentos de forma remota, en ocasiones a través de protocolo de escritorio remoto (RDP, por sus siglas en inglés) o dirigiéndose a soluciones de gestión y monitorización remotas (RMM), que suelen utilizar los MSP (proveedores de servicios gestionados) para gestionar la infraestructura de TI de sus clientes y/o los sistemas de usuario final.
Evitar y prevenir el secuestro datos
La mayoría de las campañas de ransomware empiezan por un mensaje de correo electrónico de phishing. Con el paso del tiempo, han ganado en sofisticación, y ahora muchas están específica y meticulosamente diseñadas en el idioma local de las víctimas a las que van dirigidas.
Una empresa del Reino Unido pagó dos veces rescate millonario por negligencia
Una empresa del Reino Unido tropezó dos veces con el mismo de secuestro de datos conocido como ransomware, y por el que pagó al menos un rescate de 6.5 millones de libras en bitcoins, aproximadamente $9 millones de dólares. ¿Su error? Pagar el rescate y no molestarse en revisar cómo ocurrió, por lo que fue víctima de los mismos ciberdelincuentes menos de dos semanas después de pagar el rescate millonario.
Los detalles del caso fueron publicados por el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC, por sus siglas en inglés), que con la difusión del suceso busca crear conciencia entre las empresas sobre la importancia de fortalecer sus medidas de ciberseguridad.
“Sabemos de una organización que pagó un rescate de alrededor de 6.5 millones de libras esterlinas para recuperar sus archivos, pero que no hizo ningún esfuerzo por identificar la raíz del ataque y proteger su red”, señaló el NCSC.
“Menos de dos semanas después, los mismos ciberdelincuentes volvieron a atacar a la empresa con el mismo mecanismo de antes, al implementar su ransomware y dejar en la víctima la sensación de que la única solución era volver a pagar el rescate”,
Consejo básico de seguridad en Windows: Mostrar la extensión real de un archivo
Una extensión de nombre de archivo es un conjunto de caracteres que se agregan al final de un nombre de archivo para determinar qué programa debería abrirlo.
- Para abrir Opciones de carpeta, haga clic en el botón Inicio, en Panel de control, en Apariencia y personalización y, por último, en Opciones de carpeta.
- Haga clic en la ficha Ver y, a continuación, en Configuración avanzada, realice una de las acciones siguientes:
- Para mostrar las extensiones de nombre de archivo, desactive la casilla Ocultar las extensiones de archivo para tipos de archivo conocidos y, a continuación, haga clic en Aceptar.
Desmarcar Ocultar las extensiones de archivo para tipos de archivo conocidos
Antes: .pdf
Ahora mostrará: .pdf.exe
Ejemplos:
Antes: los fichero son mostrados con un icono falso, Windows no nos muestra la verdadera extensión del documento
Ahora: después ya podemos ver que aunque el icono es de un PDF, mp3, Excel o ZIP, en realidad es un fichero con extensión EXE.
¿Cómo evitar o prevenir infección de cualquier Ransomware?
- Habilitar el acceso controlado a las carpetas Windows Defender
- Herramientas específicas Anti-ransomware
- Desactivar (deshablitar) Windows Script Host
- Desactivar macros Microsoft Office
- Evitar que los usuarios ejecuten Powershell a través de GPO
Securizar RDP - Remote Desktop Protocol
- BlueKeep (CVE-2019-0708) es una vulnerabilidad RCE en el servidor RDP de Microsoft, que afecta a las máquinas Windows desde Windows 2000 a Windows 7 y Windows Server 2008 R2. Se encontró y se corrigió en mayo de 2019. Esta vulnerabilidad es un uso después de la ausencia que estaba presente en el controlador del kernel de Windows que maneja las conexiones RDP: termdd.sys.
- DejaBlue (CVE-2019-1181 & CVE-2019-1182) es otra vulnerabilidad RCE en el servidor RDP de Microsoft (de ahí el nombre) descubierta en 2019. Esta vez, la vulnerabilidad afectó a todas las versiones de Windows (7-10) hasta el parche. . DejaBlue es una vulnerabilidad de desbordamiento de enteros que estaba presente en una DLL central del servidor RDP: RDPCoreTS.dll / RDPBase.dll (según la versión de Windows).
Mstsc.exe /shadow:<Session ID> /v:<Computer name or IP address>
Añade entrada al registro de Windows
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /v Shadow /t REG_DWORD /d 2
Valores
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services
- 0 – disable remote control; No remote control allowed;
- 1 — full control with user’s permission; Full Control with user’s permission;
- 2 — full control without user’s permission; Full Control without user’s permission;
- 3 — view session with user’s permission; View Session with user’s permission;
- 4 — view session without user’s permission;View Session without user’s permission.
Segmentar la red - Segmentación de la red
La implementación de VLAN no solo nos va a ayudar en el caso de un ransomware, por ejemplo, si una máquina/PC/lo que sea, es comprometida, el atacante lo va a tener muy complicado para poder pivotar/acceder a otros departamentos de la empresa. Los últimos ataques a empresas o administraciones públicas lo demuestran, no disponían de redes suficientemente segmentadas, por lo tanto, cuando el ciber delincuente accedía a uno de sus equipos, del modo que fuese, ya tenía acceso completo a todos los recursos de red y eso ya os podéis imaginar que es lo peor que nos puede ocurrir en lo que a ciberseguridad respecta.
Entiendo que lo de crear VLAN da trabajo y a corto plazo solo hace que todo sea un poco más complicado en cuanto a lo que administración de redes se refiere, pero a la larga os garantizo que solo tiene ventajas.
Si tenéis una página web pública o correo electrónico corporativo, por favor, que sus servidores no estén en la misma red que el resto de ordenadores de la compañía.
1. Cómo protegerse Ransomware de forma gratuita con Windows 10 con Windows Defender
Nueva función del centro de seguridad en Windows 10Windows Defender (antivirus gratuito por defecto en Windows 10) permite monitorizar los cambios que cualquier aplicación intente realizar en tus carpetas protegidas.
Presiona el botón de inicio, escribe "Centro de seguridad" y elige el primer resultado.
Luego, en la ventana del Centro de Seguridad de Windows Defender haz click en Protección antivirus y contra amenazas, es decir, el icono en forma de escudo a la izquierda.
Lo siguiente es hacer click en la opción Configuración de antivirus y protección contra amenazas.
Haz scroll hasta encontrar la opción Controla el acceso a la carpeta y marca la casilla Activado. Esto mostrará una ventana de confirmación para que des permiso a Windows Defender a cambiar la configuración. Dile que sí y listo.
Protege tus archivos, carpetas y áreas de memoria del dispositivo para impedir cambios no autorizados de aplicaciones malintencionadas
A partir de ahora, si una app intenta cambiar tus archivos protegidos, la app se pondrá en una lista negra y Windows te informará. Por defecto, las carpetas protegidas son: Documentos, Imágenes, Vídeos, Música, Escritorio y Favoritos. También puedes añadir más.
- https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/enable-controlled-folders
- https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/controlled-folders
2. Herramientas específicas de protección (Anti-Ransom)
- Anti-Ransomware de Malwarebytes (Basado en CryptoMonitor)
- HitmanPro
- CryptoPrevent (Básicamente aplica políticas de seguridad con GPO)
- AppLocker de Microsoft
- BDAntiRansomware de BitDefender
- Interceptor de McAffe es un Anti-Ransomware gratuito
- Raccine (Detecta cambios vssadmin.exe, Shadow Volume)
Raccine: herramienta código abierto
Raccine es parecido a una vacuna, porque detecta cambios y llamadas al ejecutable vssadmin.exe (y wmic.exe), ya que los ransomware suelen eliminar los Shadow Volume Copies para que no sea posible recuperar versiones anteriores de los ficheros. Es decir eliminan las copias de seguridad de los ficheros creadas por Windows.
Ejemplo de código que suelen utilizar ransomware:
vssadmin delete shadows /all /quiet
Funcionamiento
- Se intercepta la llamada a vssadmin.exe (y wmic.exe) y se pasa a raccine.exe como debugger (vssadmin.exe delete shadows se convierte en raccine.exe vssadmin.exe delete shadows)
Combinaciones maliciosas:
- delete y shadows (vssadmin, diskshadow)
- resize y shadowstorage (vssadmin)
- delete y shadowstorage (vssadmin)
- delete y shadowcopy (wmic)
- delete y catalog y -quiet (wbadmin)
- win32_shadowcopy o element de una lista de conandos encodeados (powershell)
- recoveryenabled (bcedit)
- ignoreallfailures (bcedit)
3. Desactivar Windows Script Host
Microsoft Windows Script Host (WSH) es una tecnología de automatización para los sistemas operativos Microsoft Windows hizo Proporciona capacidades de scripting comparable a batchfiles, pero con un soporte de funciones ampliado. Originalmente fue llamado Windows Scripting Host, pero cambió de nombre en la segunda versión.
Windows Script Host (WSH) se usa para interpretar y ejecutar JScript (archivos .JS) y VBScript (archivos .VBS y .VBE) que pueden ser potencialmente peligrosos.
Extensiones de ficheros bloqueadas
- .hta
- .jse
- .js
- .vbs
- .vbe
- .wsf
- .wsh
Numerosas campañas de spam están usando varias familias ransomware a través de archivos adjuntos .zip. Y los archivos .zip contienen Normalmente, un JScript (.js / .JSE) Un archivo que, si se hace clic, se ejecutará a través de Windows Script Host.
Se puede editar el registro de Windows para desactivar WSH.
Aquí está la clave (carpeta).
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings
Crear un nuevo valor DWORD denominado "Enabled" y establezca los datos de valor a "0".
Y después, si hace clic en un archivo .js, se verá esto:
Acceso Windows Script Host deshabilitado en este equipo. Póngase en contacto con el administrador para obtener más detalles.
O ejecutar el script nombre.bat
REG ADD "HKCU\Software\Microsoft\Windows Script Host\Settings" /v Enabled /t REG_SZ /d 0
4. Desactivar macros Microsoft Office
No hagas click en el botón de Habilitar contenido.....
Habilitar Contenido --> NO
Estos fichero tienen una macro, pequeño programa que puede realizar diferentes acciones de forma automática, si activamos la ejecución de esa macro haciendo clic en «Habilitar contenido» se activa un ransomware que cifrará los ficheros del equipo afectado.
Una macro está compuesta por una serie de comandos que puede usar para automatizar una tarea repetitiva, y se puede ejecutar cuando haya que realizar la tarea. Este artículo contiene información acerca de los riesgos relacionados con el trabajo con macros, y le permitirá aprender a habilitar o deshabilitar macros en el Centro de confianza.
Presionar MAYÚS al abrir un archivo
Si no desea infectarse con un virus de macro, mantenga presionada la tecla MAYÚS cuando abra un archivo que podría estar infectado con un virus de macro. Si presiona MAYÚS evitará que se ejecuten las macros automáticas; si hay algún virus de macro presente, no se cargará.
Deshabilitar Macros en Office
- Haga clic en la pestaña Archivo.
- Haga clic en Opciones.
- Haga clic en Centro de confianza y, después, en Configuración del Centro de confianza.
- En Centro de confianza, haga clic en Configuración de macros.
- Deshabilitar todas las macros sin notificación
En Excel esta opción es
- Deshabilitar macros de VBA sin notificación y solo se aplica a macros de VBA.
5. Evita que los usuarios ejecuten Powershell
Mitigarlo sería subir las restricciones de todas las máquinas que tengas en dominio a, por ejemplo, "AllSigned". La buena noticia es que no hay que hacerlo a mano, que se puede hacer mediante política de grupo.
gpedit.msc
Navega hasta
Configuración del equipo --> Plantillas administrativas --> Componentes de Windows --> Windows PowerShell
Elige la opción
Activar la ejecución de scripts
Elige Habilitar y una opción de Directiva de ejecución:
- Permitir solo scripts firmados
- Permitir scripts locales y scripts remotos firmados
- Permitir todos los scripts
La alternativa es restringir completamente el acceso a PowerShell, aunque pierdes la capacidad de automatizar procesos en máquinas del dominio.
No ejecutar aplicaciones de Windows especificadas
Hacer click en "Habilitada"
Lista de aplicaciones no permitidas
Mostrar --> Valor --> powershell.exe
Otra forma es deshabilitar el ejecutable PowerShell.exe, la ruta por defecto es:
C:\Windows\System32\WindowsPowerShell\v1.0.
Haz lo mismo para bitsadmin.exe y otros LOLBINS.
Opciones más avanzadas
Configurar el Firewall de Windows en todos nuestros hosts para bloquear técnicas ampliamente utilizadas como el uso de PowerShell.exe u otros LOLBAS (Living Off The Land Binaries and Scripts).
Utilice las políticas de Windows Firwall para bloquear el acceso de los binarios al llamado "Alcance Remoto". Estos binarios incluyen powershell.exe, bitsadmin.exe, certutil.exe, regsrv32.exe, mshta.exe, msbuild.exe, hh.exe, makecab.exe, ieexec.exe, extract.exe, expand.exe (consulte los enlaces para detalles)
Bloquear binarios
- powershell.exe (ATT&CK T1086)
- regsvr32.exe (ATT&CK T1117)
- mshta.exe (ATT&CK T1170)
- bitsadmin.exe (ATT&CK T1197)
- certutil.exe (ATT&CK T1105)
- msbuild.exe
- hh.exe
- makecab.exe
- ieexec.exe
- expand.exe
- extrac.exe
Evitar movimientos Laterales y Elevación de Privilegios Windows
Windows ofrece una solución de forma nativa. Se llama LAPS (Local Administrator Password Solution) y si tu solución es manual, deberías migrar a LAPS.
¿Qué es LAPS?
Las características más sobresalientes de LAPS son:
- Los passwords de las cuentas locales de administrador gestionadas por LAPS son únicos (no se repiten)
- El password el muy robusto y LAPS los va cambiando regularmente (Si quieres diariamente)
- LAPS almacena estos passwords como secretos, de forma segura en AD DS y están replicados en todos los controladores de dominio.
- Se puede (y se debe) configurar permisos de control de acceso a LAPS.
- Los passwords que LAPS recupera se transmiten de forma segura al cliente (están encriptados)
Es decir, más o menos lo que vienes haciendo de forma manual, pero automatizado. ¿Y qué requisitos pide?
- Que el equipo sea miembro del dominio.
- Nivel funcional del dominio de 2003 o superior.
- Es necesario ampliar el esquema para poder usar LAPS.
- Se debe instalar un pequeño agente en los equipos administrados por LAPS.
Para evitar movimientos laterales y elevación de privilegios se recomiendan además las siguientes medidas:
Deshabilitar SMB v1
Set-SmbServerConfiguration -EnableSMB1Protocol $false
HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Registry entry: SMB1
REG_DWORD = “0” (Disabled)
Clientes:
HKLM\SYSTEM\CurrentControlSet\services\mrxsmb10
Registry entry: Start
REG_DWORD = “4” (Disabled)
HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation
Registry entry: DependOnService
REG_MULTI_SZ: “Bowser”,“MRxSmb20”,“NSI”
Deshabilitar Windows Remote Management (WinRM)
Disable-PSRemoting -Force
Stop-Service WinRM -PassThruSet-Service WinRM -StartupType Disabled
Regla Firewall Windows:
netsh advfirewall firewall set rule group=”Windows Remote Management” new enable=no
Deshabilitar WDigest
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\ UseLogonCredential REG_DWORD = “0”
Deshabilitar LAN Manager y NTLMv1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
clave del controlador de dominio.HKLM\SYSTEM\CurrentControlSet\Control\Lsa
Deshabilitar SMBv1
Get-WindowsOptionalFeature -Online -FeatureName smb1protocol
Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol
Enable-WindowsOptionalFeature -Online -FeatureName smb1protocol
1 comentarios :
Aquí mas info de cómo desactivar el SMBv1 según sistema operativo utilizado: https://www.sysadmit.com/2017/05/windows-deshabilitar-smb-10.html
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.