Análisis de un incidente de seguridad, charla de Javier Payá en H&B

Al buen Tomashing 365. Análisis de un incidente de seguridad

Los ciberdelincuentes buscan y rebuscan la fórmula con la que conseguir sus objetivos y muchas veces el medio usado es el phishing que es la suplantación de identidad para llevar a cabo su engaño. Hasta aquí nada nuevo bajo el sol.

En Palabra de hacker ha salido a relucir este tema en numerosas ocasiones siempre con el objetivo de informar para que todos aumentemos la guardia porque estas cosas están a la orden del día y cada vez se perfeccionan mucho más las fórmulas, cualquiera podemos ser una potencial víctima.

Para profundizar en este tema ahí están disponibles las charlas sobre ‘La curiosa historia del Spam y cómo protegerse del phishing‘, ‘PaaS. Phishing as a service, phishing avanzado‘, ‘Prevención de ataques de ingeniería social. Que no te la den con tomate‘ o los ciberdebates ‘Fraudes online. Cómo evitarlos e identificarlos‘ o ‘Ingeniería social: el arte de atacar al eslabón más débil‘.

A pesar de las advertencias ya sabemos que el usuario somos el eslabón más débil y, aunque no todos, muchos problemas de seguridad ocurren por un burdo engaño cuando los malintencionados se aprovechan de las técnicas de ingeniería social.

Aunque últimamente cobran fuerza las aplicaciones de mensajería instantánea y las redes sociales para distribuir enlaces maliciosos en los que al hacer clic salta la chispa que inicia un incidente de seguridad y empieza la pesadilla, el correo electrónico sigue siendo todavía uno de los principales vectores de ataque que se usan. Por eso aquí va un ejemplo práctico para ver la dimensión que puede tomar y el daño que puede provocar ‘un simple correo’.

Javi Payá (@Ninjavi_) es un administrador de sistemas reconvertido a ingeniero de seguridad. En su día a día está habituado a tener que analizar diversos tipos de incidentes de seguridad de los diferentes clientes por eso decidió compartir con la comunidad Hack&Beers uno de los casos en los que le tocó trabajar cuyo origen fue un phishing.

Se trata de una práctica charla en la que explica paso por paso cómo realizó todo el proceso de investigación a la inversa hasta dar con el origen para poder contener, mitigar y erradicar el incidente de seguridad que afectó a un cliente y que comenzó precisamente vía correo electrónico. La ponencia, que está disponible a continuación en vídeo y podcast, es el caso práctico que acompaña a la charla sobre ‘Cómo defenderse de los malos con Cyber Threat Intelligence‘ de Alex Casanova que ya está publicada.

¿Cómo se analiza un incidente de seguridad?

La resolución de este caso no resultó sencilla pero finalmente pudieron dar con la clave y resolverlo. Ante todo incidente de seguridad Javier recuerda que hay cuatro preguntas básicas a las que hay que dar respuesta siempre.

La primera de ellas es saber qué ha pasado, en este caso fue que un cliente detectó que se habían enviado correos en su nombre y por tanto había que averiguar cómo había sido posible que alguien accediera al correo. La siguiente cuestión es saber qué alcance ha tenido el incidente de seguridad para poder acotar el daño causado.

A continuación hay que tratar de averiguar cómo ha podido pasar para finalmente saber cómo se puede evitar que siga pasando, cómo se puede frenar la situación.

Obviamente cada analista de seguridad cuenta con una serie de herramientas con las que se siente más cómodo trabajando bien porque sean las más idóneas para cada caso, bien porque sean con las que mayor experiencia. A continuación menciono tan solo las herramientas que Javier usó para la investigación de este caso y que comenta en la ponencia.

Para realizar la auditoría sobre la estación de trabajo de la víctima:

Para el análisis de las cabeceras de los correos:

Herramientas para recabar todo tipo de información en fuentes abiertas en este caso sobre un correo:

Herramientas para parsear los correos, obtener información:

Para recolectar evidencias de Office365:

  • Audit Log Search, busca por usuario y actividad en los servicios de Office365 aunque está limitado a los últimos tres meses.
  • Content Search, permite la búsqueda de contenido específico añadiendo condiciones, rangos de fechas, palabras clave, tamaño, emisor, destinatarios…
  • Mail flow, permite obtener informes sobre los correos de la organización añadiendo filtros como Sender, Recipients, IP Address…
  • Powershell.

Desde este enlace encontrarás la lista de reproducción con todas las charlas HackandBeers publicadas en el canal.

Si te ha gustado puedes dejarme abajo un comentario y compartir la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!

Vídeo

Podcast

¿Tienes Telegram? Suscríbete al canal de Palabra de hacker: https://t.me/palabradehacker

    ¿Quieres recibir todas las novedades por newsletter?

    Nombre

    Correo electrónico


    Información básica sobre Protección de datos. Responsable del tratamiento de datos: Yolanda Corral. Finalidad: Gestionar las suscripciones a la web para estar informados de nuevas publicaciones y novedades. Legitimación: Contar con el consentimiento expreso del interesado. Destinatarios: Yolanda Corral como encargada del tratamiento de datos, adoptando las necesarias medidas de seguridad y confidencialidad. Los datos que me facilites estarán ubicados en los servidores de Raiola Networks, ubicados en la UE cuyo nivel de protección son adecuados según la Comisión de la UE. Derechos: Tienes derecho de información, a acceder, rectificar, limitar y cancelar tus datos tal y como puedes ver detalladamente en la política de privacidad de esta web así como en el aviso legal.

    AVISO LEGAL - PRIVACIDAD - COOKIES

    2 comentarios en “Al buen Tomashing 365. Análisis de un incidente de seguridad”

    ¡Deja tu comentario! Tu correo electrónico no será publicado.

    Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.