Blog de ManuSec

En las últimas semanas, España ha estado en el centro de una oleada de ciberataques que han afectado a diversas instituciones y empresas. Analizamos la evolución de estos incidentes y cómo han impactado en el país. Semana del 5 al 11 de marzo de 2025 Durante esta semana, España se convirtió en el país más afectado por ciberataques a nivel mundial, registrando 107 incidentes, lo que representa el 22,6% del total global.  El grupo de hackers prorruso NoName057 se atribuyó 105 de estos ataques, dirigidos principalmente a instituciones gubernamentales y empresas españolas. El Corte Inglés, Legálitas, Servicios de CC.OO, varias diputaciones provinciales y varios ayuntamientos entre muchos otros fueron el objetivo de estos ciberataques. A nivel estatal, ha sido notorios los ataques a: Ministerio de Defensa Ministerio de Inclusión, Seguridad Social y Migraciones Centro Criptológico Nacional (CCN) Fundación Real Instituto Elcano Entre muchas de las consecuencias de estos ciberataques. se h...

Hola a todos.  El otro dia, se me ocurrió crear un honeypot para Windows Server con Wazuh. La idea es crear una carpeta jugosa, de tal manera que si un usuario malevolo entra por SMB a ella nos demos cuenta enseguida y nos lo muestre nuestro Wazuh. Al fin y a cabo, una de las primeras cosas que se hacen cuando entran a nuestra intranet corporativa es ver que recursos compartidos tenemos disponibles y que hay dentro de ellos. Por cierto, se presupone que tenemos una instalación de Wazuh: https://documentation.wazuh.com/current/quickstart.html Y un equipo Windows Server 20222 unido a el: https://documentation.wazuh.com/current/installation-guide/index.html#installing-the-wazuh-agent Me puse manos a la obra, creé un usuario jugoso "Admin1" con una contraseña de esas que están en listas como rockyou y demas.. facilonas de averiguar.. Además, por seguridad, he puesto la cosa para que no pueda iniciar sesión en ningun lado y que el usuario esté muy limitadido.. Creé una carpeta com...

  En este video configuramos un potente XDR SIEM OpenSource (WAZUH) y vemos sus aspectos más relevantes.

  Kerberos es un protocolo de autenticación de redes de creado por el MIT que permite a dos ordenadores en una red demostrar su identidad mutuamente de manera segura. Windows usa este protocolo por defecto para la autenticación segura en Windows y en un Active Directory en contraposición con NTML. Kerberos es un vector de numerosos ataques como Pass-the-Ticket. Golden Ticket, Silver Ticket, Kerberoasting, etc. de acceso y perpsistencia enfocado en la matriz de Mitre en «Credential Access». Mediante Metasploit hemos realizado un una conexion reversa a una maquina Windows Server 2022. Luego mediante el módulo de post explotación  phish_windows_credentials  le enviamos un popup pidiendo una autenticación al usuario de Windows Server. Cuando el usuario entra sus credenciales en el cuadro de dialogo del sistema podremos obtenerlas en Metasploit. En Wazuh, podemos ver una serie de alertas relacionadas con el ataque, en concreto unas alertas con unas peticiones de tickets d...

PowerShell Remoting   es una característica de Windows que permite a los administradores ejecutar comandos, scripts e incluso iniciar sesiones interacticas en otros equipos dentro del directorio activo. PowerShell Remoting usa las credenciales que tenemos actualmente para autenticarse en el sistema remoto. Esta funcionalidad se basa en el uso de protocolos como WS-Management y utiliza el puerto 5985 para HTTP y 5986 para HTTPS. Un ejemplo de uso de PowerShell Remoting seria ejecutar en PowerShell con un usuario autorizado en el equipo remoto el siguiente comando para hacer el equivalente a un dir a C:\:  New-PSSession -ComputerName equipoDC Invoke-Command -ComputerName equipoDC -ScriptBlock {Get-ChildItem c:\} Sin embargo, como cualquier herramienta, también puede ser explotada por atacantes si no se maneja adecuadamente. Por ello, en entornos donde no es absolutamente necesario, deshabilitar PowerShell Remoting puede ser una medida de seguridad interesante. Aunque es una herr...

Conexión remota en Escritorio Remoto con una dirección IP.   El uso de nombres de red en vez de direcciones IP en entornos Windows ofrece beneficios importantes en términos de seguridad, especialmente cuando se utiliza Kerberos para la autenticación como viene siendo por defecto. Detallamos las razones clave por las que esta práctica es recomendable; 1. Compatibilidad con Kerberos Kerberos, como protocolo de autenticación en Active Directory, depende de los nombres de red para realizar su función de autenticación segura. Cuando se intenta establecer una conexión con direcciones IP, Kerberos no puede verificar la identidad del servidor, lo que lleva a un posible retroceso a métodos de autenticación menos seguros, como NTLM (un protocolo inseguro). Esta degradación disminuye la protección ya que Kerberos ofrece autenticación mutua basada en el uso de nombres de dominio completos. Microsoft ya anunció en octubre de 2023  su intención de desaprobar todas las versiones de NTLM, inc...