miércoles, mayo 24, 2017

Cómo ejecutar en red Telefónica WannaCry File Restorer usando Active Directory

La semana pasada publicábamos Telefónica WannaCry File Restorer, un script escrito en Powershell con el que se podía recuperar archivos temporales afectados por el ransomware Wannacry. El script funciona bastante bien en los casos en los que el ransomware ha sido “cortado”, es decir, en un momento dado el proceso ha dejado de funcionar, ya sea porque haya sido parado con un error - muchos casos -  o porque se haya apagado o hibernado el equipo.

Figura 1: Cómo ejecutar en red Telefónica WannaCry File Restorer usando Active Directory

Lo interesante, y por lo que primero nos focalizamos en crear un script en Powershell - además de luego dotar a los usuarios de una versión escritorio de Telefónica WannaCry File Restorer,  es que cualquier equipo de IT que se haya visto afectado por este ransomware puede lanzarlo en su dominio/s con el objetivo de recuperar archivos, sin necesidad de que el usuario final participe en el proceso, aprovechando las posibilidades de Active Directory.


Figura 2: Telefonica WannaCry File Restorer (PowerShell Script)


Para mostrar cómo hacerlo hemos querido montar un pequeño entorno que conste de un dominio Microsoft con un Domain Controller en Windows Server 2016  en y con un par de máquinas Windows cliente.


Figura 3: Telefónica WannaCry File Restores Desktop Version


Por supuesto, se podría proveer la herramienta de escritorio a todos los usuarios, pero la idea es mostrar cómo un administrador del dominio podría lanzar el script Telefonica WannaCry File Restorer con el objetivo de que se ejecute en cada máquina del dominio de forma, totalmente, transparente al usuario, como vamos a ver en la PoC.

PoC:  Ejecutado en TWCFR usando AD

El escenario es sencillo: un controlador de dominio desde dónde invocaremos el script con una instrucción de Powershell, un par de máquinas con sistemas operativos cliente de Windows. Todo el proceso, por parte del equipo de IT, ocurre de forma transparente al usuario, lo cual es un proceso interesante, ya que no genera ruido en el trabajo del usuario.

En la siguiente imagen, se puede ver como invocamos al script de Telefonica Wannacry File Restorer. El comando Invoke-Command es utilizado en Powershell para ejecutar cualquier comando en Powershell y tiene la característica de poder ser ejecutado en un entorno remoto. Si las credenciales que se proporcionan son las de un administrador de dominio, el script podrá ser ejecutado en otras máquinas pertenecientes al dominio.

Figura 4: comando para invocar el script TWCFR desde Powershell

El parámetro –FilePath indica el script que debe ser ejecutado. Cuando el script comienza su ejecución podemos detectar sobre qué path se está ejecutando, en este caso sobre la carpeta %localappdata%\temp del usuario1. Esto puede verse en la siguiente imagen.

Figura 5: El script ejecutándose sobre la carpeta del usuario1

Sin duda, muchos equipos de IT afectados por la lacra del ransomware puede utilizar el dominio para llevar a cabo tareas de limpieza o restauración. En el caso de WannaÇry, cualquier equipo de IT afectado puede utilizar este método para recuperar archivos temporales que hayan quedado en los equipos. Os dejamos un video del funcionamiento del despliegue del script en un dominio Microsoft.

Figura 6: PoC ejecución de TWCFR en un Active Directory

Por supuesto, nosotros recomendamos el uso de herramientas de prevención para evitar cualquier ransomware que pueda afectar en el futuro a tus documentos, y como es el caso de Latch ARW.


Además, la utilización de políticas de backup (en un almacenamiento protegido) adecuadas es fundamental para poder luchar en igualdad de condiciones contra la lacra del ransomware.

Autores: Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Ethical Hacking", "Got Root" y “Pentesting con Powershell”, Microsoft MVP en Seguridad y Security Researcher en ElevenPaths y Fran Ramirez (@cyberhadesblog) escritor de libro "Microhistorias: anécdotas y curiosidades de la historia de la informática" e investigador en ElevenPaths

martes, mayo 23, 2017

WordPress Latch Enforcement: Cómo forzar el uso de Latch a todos los usuarios de WordPress

La seguridad de un sistema es tan fuerte como lo es en el eslabón más débil. Esta es una frase que seguro que muchos conocéis. En un proceso de fortificación de una plataforma tomar decisiones de cuándo una medida de seguridad no es optativo es fundamental. En este caso, el uso de un segundo factor de autenticación para gestionar la seguridad de las identidades, de forma obligatoria para todos, para conseguir la Máxima Seguridad en WordPress posible.

Figura 1: WordPres. Cómo forzar el uso de Latch a todos los usuarios. "Latch Enforcement"

En un artículo anterior os comentaba cómo se puede utilizar la característica de Lock on Request en Latch para forzar que se cierre automáticamente el Latch del usuario después de cada utilización, lo que evita que un usuario se deje el pestillo abierto "por error" u olvido. 


Figura 2: Ejemplo de WordPress con Latch Lock on Request


Hoy os quería dejar un truco para forzar el uso de Latch en todos los usuarios de tu WordPress. Es decir, que si un usuario no tiene activado Latch en WordPress, no pueda continuar utilizando su cuenta dentro del sistema. 

Figura 3: Configurar Latch en WordPress en 10 minutos

Para ello, la primera fase es configurar Latch en WordPress en 10 minutos como se puede ver en este vídeo de la Figura 3. Luego, a configurar el forzado de Latch en todas las páginas de WordPress.

Latch Enforcement

Para forzar el uso de Latch, basta con bloquear al usuario dentro de la página del perfil y que no pueda salir de ella hasta que no se haya configurado Latch. El método es tan sencillo como comprobar en todas las páginas de WordPress al inicio si en la tabla en MySQL donde se encuentran los Latch_IDs, si este usuario hay algún valor o el valor es nulo.

Figura 4: Código para forzar el redirect a la página de pareo de Latch

Si el valor es NULL, entonces el usuario es redirigido a la página del perfil /wp-users/profile.php, hasta que finalmente se configure una cuenta de Latch para proteger su identidad. En el siguiente vídeo lo podéis ver funcionando.

Figura 5: WordPress Latch Enforcemente

Al final, forzando el uso de Latch en todas la cuentas y aplicando el Lock on Request, es más difícil que te roben las cuentas de tus usuarios, ya que todos los usuarios están obligados a tener un 2FA y todos los Latch están cerrados.

Saludos Malignos!

Entrada destacada

Aura y su negocio oculto para conquistar el mundo

Ya estoy de regreso en Madrid , y mientras todavía continúa el eco de la presentación de Aura y la Cuarta Plataforma , he decidido tomarme ...

Entradas populares