🎯Internas

Esta sección está dedicada a técnicas, conceptos y vulnerabilidades que podemos encontrar en auditorías internas.

Equipo local

Es principalmente el punto de partida de las auditorías internas, y debemos realizar una serie de comprobaciones en los equipos proporcionados, entre las que se encuentran:

BIOS

  • Contraseña

    • Está configurada?

    • Es robusta?

  • Cambio opciones de arraque permitido

  • Arranque por medios externos des/habilitado

  • Mecanismo de reseteo BIOS?

Sistema Operativo

  • Cifrado de unidad de disco

    • Bitlocker? LUKS? --> Ataque de sticky keys

  • Modificación de archivos de accesibilidad

    • displayswitch.exe, magnifier.exe,narrator.exe, utilman.exe, sethc.exe

  • Vulnerabilidades conocidas del sistema operativo

    • Revisar parches aplicados

  • Modo a prueba de fallos accesible

  • Uso de unidades extraíbles

  • Unidades de red accesibles

    • Verificar permisos como escritura o acceso a información no permitida

  • Servicios en los que la ruta al ejecutable esta configurada sin comillas

  • Binarios susceptibles a DLL Hijacking

  • Escritura o creación de claves en el registro

  • Existencia de credenciales en GPO de SYSVOL

    • Si se accede a dominio

  • Verificar la posibilidad de ejecución de comandos

    • Activex, cmd, powershell, wmic, cscript, etc..

  • Verificar el uso de protocolos vulnerables

    • NBT-NS, LLMR, MDNS, etc...

  • Restricción de instalación de aplicaciones insuficiente

    • Posibilidad de instalar aplicaciones con las credenciales del usuario otorgadas

  • Protección de acceso y escritura en unidad C:\ insuficiente.

  • Verificación de instalación y uso de compiladores

    • Con la instalacion de Microsoft.NET framework se instala un compilador csc

  • Ultimo usuario visible al iniciar

    • Es posible ver el ultimo usuario que inicio sesion en el sistema

  • Uso de software de control remoto

    • Como logmein, etc.. Depende de la politica, o el modo de acceso VPN, LAN, etc..

  • Acceso al directorio activo en modo lectura

    • Si se accede a un entorno de AD

  • Volcado de credenciales en memoria

  • Bypass solución de Filtrado web de la compañía

  • Comprobación de borrado seguro de archivos

  • Uso de software y protocolos de descarga masiva

    • bittorrent, edonkey, etc..

  • Exfiltración de información – Canales encubiertos

    • DNS, ICPM, etc.

  • Permisos de cierre de procesos críticos del sistema

    • antivirus, etc.

  • Uso de software con vulnerabilidades conocidas

  • Credenciales almacenada en navegador

  • Antivirus/antimalware instalado y ejecutándose

  • Firewall habilitado y configurado

  • Uso de herramientas de hacking con antivirus habilitado

Herramientas

Recursos y enlaces de referencia

Last updated