Proyecto Oscar5
Proyecto Oscar5
Proyecto Oscar5
Tutor
Juan Pablo Urrea Duque
Universidad de Antioquia
Facultad de Ingeniería, Departamento de ingeniería electrónica y telecomunicaciones.
Pregrado
Medellín, Colombia.
2022
Cita (Osorio Cardona, 2022)
Osorio Cardona, S. A. (2022). Análisis y recomendaciones según el tipo de
Referencia vulnerabilidades en los servicios de infraestructura Cloud Computing
usando simulaciones de ataque a los servicios Cloud [Pregrado]. Universidad
Estilo APA 7 (2020) de Antioquia, Medellín.
El contenido de esta obra corresponde al derecho de expresión de los autores y no compromete el pensamiento
institucional de la Universidad de Antioquia ni desata su responsabilidad frente a terceros. Los autores asumen la
responsabilidad por los derechos de autor y conexos.
Resumen
Dentro del análisis para garantizar confiabilidad del servicio es importante recrear
estas vulnerabilidades con el fin de conocer a fondo sus fortalezas y debilidades,
y es vital la utilización de herramientas de trabajo donde se pueda interactuar
para la obtención de resultados. Es por esto que la utilización de simuladores que
permiten evaluar entornos parecidos al servicio cloud computing son de gran
importancia antes de entrar a la etapa de desarrollo.
Objetivos
Objetivo general:
Objetivos específicos:
Es importante, ofrecer al público una visión más amplia del concepto de Cloud
Computing, su aplicabilidad, ventajas y desventajas, pero desde una perspectiva
más objetiva que crítica. Es por ello que se trata de dar una serie de etapas a
seguir con el fin de que el proveedor como el cliente pueda ofrecer o disfrutar el
servicio. En este caso se espera identificar, evaluar, analizar y generar una serie
recomendaciones para lograr que el cliente haga una selección óptima del
servicio Cloud Computing que el mercado ofrece reduciendo la desconfianza
en esta tecnología.
Execution
Software
Component Deployment
PowerShell JavaScript Object Model Cron Tools Malicious File At (Windows)
Network Dynamic Data System Malicious Inter-Process
AppleScript Device CLI Exchange Launchd Services Image Communication
Container Windows
Windows Command Administration Scheduled Management
Shell Command Native API Task Launchctl Instrumentation Python
Deploy Scheduled Systemd Service Shared
Unix Shell Container Task/Job Timers Execution Malicious Link Modules
Exploitation Container
for Client Orchestration User
Visual Basic Execution At (Linux) Job Execution No aplica No aplica
⮚ Actividad 1.2: Filtrado de información con respecto a servicio público y
privado en el servicio IaaS.
La infraestructura para servicio IaaS ofrece recursos como: Redes virtuales,
almacenamiento virtual y máquinas virtuales accesibles a través de
Internet. En la actualidad las organizaciones utilizan este tipo de servicio
para aumentar los entornos locales como de nube privada.
Una de las ventajas del servicio IaaS es la escalabilidad y flexibilidad de
hardware y por esta razón la infraestructura puede expandirse si el cliente
lo desea o reducirse en caso de querer cambiarlo, lo cual, no es posible
hacer escalabilidad a nivel de hardware local.
Plataforma Google
Office 365 Azure AD SaaS IaaS
Nube Workspace
Técnicas de
Ataque 28 19 24 23 40
40
35
30
25
20
15
10
5
0
Office 365 Azure AD Google SaaS IaaS
Workspace
6 Métodos de ataques
5 5
Office 365
Tipo de
Cantidad de ataques
4 4
4 3 Ataques
2 2 2
2 1
Tácticas de ataques
5 4 Ataques
4 3
3 2 2 2
2 1
1
0
Tácticas de ataques
4 3 Datos
2 2 2 2 2
2 1
Tácticas de ataques
Tácticas de ataques
12
10 Tipo de ataques
8 6
6 5
4
4 3 3 3
2 1 1 1 1
0
Tácticas de ataques
Reporte de seguridad
Una visión de conjunto en la red configurada muestra que no se
presentaron problemas críticos de seguridad, a pesar de que los
ataques se propagaron por toda la red. El simulador intentó acceder
por fuerza bruta con usuarios y contraseñas dadas. Infection Monkey uso
los siguientes métodos de explotación para vulnerar la seguridad
inspeccionando las IP dadas en la configuración previa.
Explotador de PYMES
Explotador de WMI
Explotador de SSH
Explotador Log4Shell
Explotador de ShellShock
Explotador SambaCry
Explotador Groovy Elástico
Explotador de Struts2
Explorador de Oracle WebLogic
Hadoop/explotador de hilos
Explotador de puerta trasera VSFTPD
Explotador de MSSQL
Explotador de servidor Drupal
Explotador remoto de PowerShell
Explotador de conficker
Explotador de inicio de sesión cero
En forma general Infection Monkey no descubrió amenazas, pero si
algunos problemas de seguridad debido a una segmentación de red
débil.
Reporte de cero confianzas
El informe de confianza cero está compuesto de 7 pilares, los cuales,
infection Monkey inspecciona de forma individual y los resultados son
como se muestra en la tabla 5. En el apéndice C se muestran los
resultados con más detalle.
Estado
Táctica Técnica Mitigación
Técnica
Acceso con Verificación
Fuerza bruta
credenciales Fallida No aplica
Identificar las utilidades de los
Descubrimiento
Verificación sistemas innecesarios para adquirir
Descubrimiento de Sistemas
Exitosa información en los sistemas
Remotos
disponibles.
Identificar las utilidades de los
Descubrimiento
Verificación sistemas innecesarias para adquirir
de información
Exitosa información sobre los sistemas
del sistema
operativos.
Detección de Identificar las utilidades de los
configuración Verificación sistemas innecesarias para adquirir
de red del Exitosa información sobre configuración de
sistema red de un sistema.
Explotación de
Movimiento Verificación
servicios
lateral Fallida
remotos No aplica
Diseñe secciones de red para aislar
Comando y Puerto de uso Verificación sistemas, funciones o recursos
control común Exitosa críticos. Usar firmas de detección de
intrusos para bloquear tráfico.
Exfiltración
sobre canal de Verificación Usar firmas de detección de
Exfiltración
comando y Exitosa intrusos para bloquear tráfico en los
control límites de la red.
● Etapa 4: Generar recomendaciones para minimizar los riesgos dentro de los
servicios de cloud computing.
Reporte de seguridad
En este caso el atacante encuentra posibles problemas de seguridad,
aunque en la simulación no logra explotarlas, pero logra identificar un
problema en la red de segmentación débil. Por lo que se recomienda
hacer una segmentación de red con el fin de evitar que las máquinas
tengan una comunicación entre sí.
Informe de confianza cero
Datos: El atacante intenta tener acceso a los servidores sin cifrar, por
lo que se recomienda tener datos cifrados o tener copias de
seguridad en caso de daño de estos.
Gente: Se intenta crear un nuevo usuario para acceder por medio
de él, por lo que se recomienda tener un proceso de autenticación
seguro.
Redes: El atacante intenta escanear la red con el fin de explotar su
vulnerabilidad por lo que se recomienda escanear el tráfico de red
en busca de actividad maliciosa.
Dispositivos: El atacante intenta explotar las máquinas que encontró
en la red e intenta explotar su vulnerabilidad para comenzar un
ataque conjunto a todas las máquinas. En este caso se recomienda
tener un antivirus de seguridad en los endpoints.
Cargas de trabajo: El atacante creará un usuario para tener
comunicación con la red y llegar a las máquinas, por lo que se
recomienda tener una autenticación segura.
Visibilidad y análisis: El atacante realiza acciones maliciosas en la red
como canalizar el tráfico de red para poder explotar su
vulnerabilidad por lo que se recomienda analizar el tráfico, tener
permisos de usuarios y un inicio de sesión seguro.
Automatización y registro: Se intenta buscar problemas en a la
seguridad del servicio por lo que se recomienda tener un monitoreo
e inicio de sesión en los recursos de la red.
Reporte de tácticas y técnicas de ataques
En este caso el simulador da puntualmente ciertas recomendaciones a
seguir para mitigar la técnica de ataque echa por el atacante. Muchas
de estas fueron expuestas en la tabla 6 o el apéndice D.
⮚ Actividad 4.1: Enumerar las recomendaciones que estén dirigidas al
proveedor.
En el caso del proveedor dentro de los servicios en la nube y su
configuración se dan las siguientes recomendaciones:
A pesar de que la mayoría de configuraciones las puede hacer el usuario
en el caso de AWS, no todas son intuitivas y se necesita tener un
conocimiento previo de manejo de redes, seguridad, sistemas operativos,
máquinas virtuales, etc. Lo que conlleva al cliente a cometer errores de
configuración que más tarde pueden ser aprovechados por los atacantes.
Es por esta razón que estos servicios deberían ser segmentados de tal forma
que dependiendo del cliente o empresa se le dé una asesoría adecuada
para un manejo correcto de los servicios ofrecidos.
Resultado y análisis
La simulación de ataques a un sistema cloud computing directamente
relacionado con la configuración de la red, configuración del simulador y
lectura correcta de resultados.
Configuración de la red: Una de las principales recomendaciones al
momento de implementar una red es la segmentación de esta, con el fin
de evitar una propagación del ataque a todos los sistemas que componen
esta red. En el caso de la simulación se implementa una red simple sin
segmentar conformada por una red principal y 3 máquinas virtuales
alojadas en la nube con sistemas operativos diferentes con el fin de darle
vía libre al atacante y tener un mayor impacto en las vulnerabilidades de
seguridad del sistema.
Conclusiones
Dentro de todo el proceso de conocer, aplicar y verificar los resultados y
vulnerabilidades en un sistema cloud computing usando un simulador se
tiene las siguientes conclusiones.
Existen una gran variedad de servicios de cómputo en la nube, pero los
más conocidos son AWS, Google Cloud y Azure.
Una de las cosas a tener en cuenta son los servicios ofrecidos por cada
plataforma y cuáles son sus ventajas y desventajas a la hora de poner
en marcha un servicio. Para esto se hace un comparativo entre las 3
plataformas más usadas.
Pros y contras de AWS
AWS es una empresa dominante de servicios en la nube debido
a que es el que más tiempo lleva en el mercado.
Tiene una gran cobertura esto es debido a la gran cantidad y
variedad de servicios que ofrece.
Una relativa desventaja es el costo por adquirir sus servicios,
aunque hay muchos de uso gratuito o de costo mínimo.
Anexo 1
Tablas de táctica y técnicas de ataque para diferentes plataformas de
empresas como dispositivos móviles.
Persistence
Registry Run Kernel Boot or Logon
Keys / Startup Modules and Plist Initialization Domain Windows
Folder Extensions Modification Scripts Startup Items Account Service
Authentication Re-opened Print Logon Script Browser Cloud Launch
Package Applications Processors (Windows) Extensions Account Daemon
Compromise Create or
Client Modify Event
XDG Autostart Logon Script Software System Triggered
Time Providers LSASS Driver Entries (Mac) Binary Process Execution
Change
Winlogon Shortcut Network Logon Create Default File
Helper DLL Modification Active Setup Script Account Launch Agent Association
Security
Support Systemd
Provider Port Monitors Login Items RC Scripts Local Account Service Screensaver
Path
Interception
Network by PATH Services File
Device Environment Permissions DLL Side-
Outlook Forms Authentication Office Test COR_PROFILER Variable Weakness Loading
Path
Interception Services
Office Domain by Search Registry
Outlook Home Application Controller Implant Internal Order Permissions Dylib
Page Startup Authentication Image Hijacking Weakness Hijacking
Path Executable
Pluggable Office Modify Interception DLL Search Installer File
Authentication Template Password Authentication by Unquoted Order Permissions
Modules Macros Filter DLL Process Path Hijacking Weakness
Windows
Management
Instrumentation Unix Shell Dynamic
Event Configuration LC_LOAD_DYLIB Netsh Helper Linker PowerShell
Subscription Modification Trap Addition DLL Hijacking Profile
Image File
Execution Component
Accessibility Application Options Object Model
Emond Features AppCert DLLs AppInit DLLs Shimming Injection Hijacking
External Hijack
Remote Execution
Services Flow No aplica No aplica No aplica No aplica No aplica
Defense Evasion
Make and Create Token Compile
Impersonate Process with Impersonation/T Disable or Modify After
Setuid and Setgid Token Token heft System Firewall Timestomp Delivery
Elevated
Bypass User Parent PID Access Token Execution with Indirect Command Software
Account Control Spoofing Manipulation Prompt Indicator Blocking Execution Packing
Path Interception
Sudo and Sudo Environment Run Virtual by Search Order Disable or Modify Modify
Caching al Keying Instance Hijacking Cloud Firewall Masquerading Registry
Exploitation Path Interception
SID-History for Defense by Unquoted Disable Cloud Invalid Code
Injection Evasion VBA Stomping Path Logs Signature Rundll32
File and
Directory Services File
Permissions Email Hiding Permissions Right-to-Left
BITS Jobs Modification Rules Weakness Safe Mode Boot Override Verclsid
Windows
File and Services
Directory Registry
Build Image on Permissions Resource Permissions Rename System
Host Modification Forking Weakness Downgrade Attack Utilities Mavinject
Deobfuscate/Dec Linux and
ode Files or Mac File and Hijack COR_PROFILE Indicator Removal Masquerade Task Reduce Key
Information Directory Execution Flow R on Host or Service Space
Permissions
Modification
Credential Access
LLMNR/NBT- Windows Modify Steal or Forge
NS Poisoning Password Credential Authentication OS Credential Kerberos
and SMB Relay Spraying Manager Web Cookies Process Dumping Tickets
Domain
ARP Cache Credential Password Controller LSASS
Poisoning Stuffing Managers SAML Tokens Authentication Memory Golden Ticket
Credentials Exploitation for Security
from Password Credential Password Filter Account
Brute Force Stores Access Input Capture DLL Manager Silver Ticket
Pluggable
Password Forced Authentication
Guessing Keychain Authentication Keylogging Modules NTDS Kerberoasting
Network
Password Securityd Forge Web GUI Input Device AS-REP
Cracking Memory Credentials Capture Authentication LSA Secrets Roasting
Credentials Cached Steal Web
Credentials In from Web Cloud Instance Web Portal Network Domain Session
Files Browsers Metadata API Capture Sniffing Credentials Cookie
/etc/passwd Two-Factor
Credentials in and Group Policy Credential API Authentication Proc
Registry /etc/shadow Preferences Hooking Interception DCSync Filesystem
Steal
Application Unsecured
Bash History Access Token Container API Private Keys Credentials No aplica No aplica
A1.4 Táctica de descubrimiento y técnicas de ataque
Discovery
Cloud Storage Peripheral System
Object Device Location System System Owner/User Query
Local Account Discovery Discovery Discovery Checks Discovery Registry
Container and Permission System Remote
Domain Resource Groups Language User Activity System Service System
Account Discovery Discovery Discovery Based Checks Discovery Discovery
System
Network
Domain Trust Configuration Time Based System Time Software
Email Account Discovery Local Groups Discovery Evasion Discovery Discovery
File and Internet Network Security
Cloud Directory Domain Connection Share Virtualization/Sandbox Software
Account Discovery Groups Discovery Discovery Evasion Discovery
System
Application Network System
Window Group Policy Connections Network Cloud Service Information
Discovery Discovery Cloud Groups Discovery Sniffing Discovery Discovery
Browser Network Password
Bookmark Service Process Cloud Service Policy Cloud Infrastructure
Discovery Scanning Discovery Dashboard Discovery Discovery No aplica
Lateral Movement
Exploitation of
Remote Taint Shared Web Session
Services RDP Hijacking SSH Content Cookie Pass the Hash SSH Hijacking
Replication
Use Alternate Through
Internal Remote Authentication Removable SMB/Windows
Spearphishing Services VNC Material Media Pass the Ticket Admin Shares
Remote
Remote Windows Software Distributed Service
Lateral Tool Desktop Remote Application Deployment Component Session
Transfer Protocol Management Access Token Tools Object Model Hijacking
A1.6 Táctica de colección y técnicas de ataque
Collection
Data from
Adversary-in- Automated Information Local Data Credential API
the-Middle Collection Repositories Staging Input Capture Hooking Data Staged
LLMNR/NBT-
NS Poisoning Browser Session Remote Data
and SMB Relay Hijacking Confluence Staging Keylogging Screen Capture Audio Capture
Email
ARP Cache Email GUI Input Forwarding
Poisoning Clipboard Data Sharepoint Collection Capture Video Capture Rule
Network
Data from Device
Archive Data from Cloud Code Local Email Web Portal Network Shared Configuration
Collected Data Storage Object Repositories Collection Capture Drive Dump
Data from Archive via Data from
Archive via Configuration Data from Remote Email Custom Removable SNMP (MIB
Utility Repository Local System Collection Method Media Dump)
Exfiltration
Exfiltration
Over
Symmetric Exfiltration
Exfiltration Exfiltration Encrypted Exfiltration Over
Automated Over C2 Over Web Non-C2 Over Alternative
Exfiltration Channel Scheduled Transfer Service Protocol Bluetooth Protocol
Exfiltration
Over
Exfiltration Asymmetric
Over Other Exfiltration to Encrypted Exfiltration
Traffic Network Transfer Data to Cloud Code Non-C2 Over Physical Exfiltration
Duplication Medium Account Repository Protocol Medium over USB
Exfiltration Over
Data Transfer Exfiltration to Unencrypted/Obfuscated
Size Limits Cloud Storage Non-C2 Protocol No aplica No aplica No aplica No aplica
Impact
Account Endpoint Transmitted Application or
Access External Firmware Reflection Denial of Data System
Removal Defacement Corruption Amplification Service Manipulation Exploitation
Data Inhibit System Resource OS Exhaustion Runtime Data Stored Data
Destruction Disk Wipe Recovery Hijacking Flood Manipulation Manipulation
Data Network Service
Encrypted for Disk Content Denial of Exhaustion Internal
Impact Wipe Service Service Stop Flood Defacement Defacement
Application
Data Disk Structure Direct Network System Exhaustion
Manipulation Wipe Flood Shutdown/Reboot Flood No aplica No aplica
Reconnaissance
Determine
Active Client Domain Physical DNS/Passive Spearphishing Search Open
Scanning Configurations Properties Locations DNS Attachment Websites/Domains
Gather Victim
Scanning IP Identity Business Spearphishing
Blocks Information DNS Relationships WHOIS Link Social Media
Identify
Vulnerability Network Trust Business Digital Search Closed
Scanning Credentials Dependencies Tempo Certificates Sources Search Engines
Gather Victim
Host Email Network Threat Intel Search Victim-
Information Addresses Topology Identify Roles CDNs Vendors Owned Websites
Employee Phishing for Scan Purchase Gather Victim Org
Hardware Names IP Addresses Information Databases Technical Data Information
Gather Victim Network Search Open
Network Security Spearphishing Technical
Software Information Appliances Service Firmware Databases No aplica
Resource Development
Acquire Stage Obtain Digital
Infrastructure Botnet Capabilities Capabilities Certificates Email Accounts Exploits
Upload Compromise
Domains Web Services Malware Malware Exploits Infrastructure Vulnerabilities
Develop Establish
DNS Server Capabilities Upload Tool Tool Accounts Domains Link Target
Virtual Private Install Digital Code Signing Social Media
Server Malware Certificate Certificates Accounts DNS Server Server
Code Signing Digital Virtual Private Social Media
Server Certificates Drive-by Target Certificates Email Accounts Server Accounts
Compromise
Botnet Accounts Web Services No aplica No aplica No aplica No aplica
Initial Access
Replication
Compromise Through
Drive-by Software Removable Spearphishing Hardware
Compromise Valid Accounts Supply Chain Media Attachment Local Accounts Additions
Exploit Public- Compromise
Facing Default Hardware Supply Chain Spearphishing
Application Accounts Supply Chain Compromise Link Cloud Accounts Phishing
Compromise
Software
Dependencies
External and
Remote Domain Trusted Development Spearphishing
Services Accounts Relationship Tools via Service No aplica No aplica
Privilege Escalation
Path Interception DLL Search
Abuse Elevation Winlogon Netsh Helper by Unquoted Order
Control Mechanism Helper DLL Launch Agent DLL Path At (Linux) Hijacking
Security Services File
Support Systemd Accessibility Permissions DLL Side-
Setuid and Setgid Provider Service Features Weakness At (Windows) Loading
Kernel Services Registry
Bypass User Modules and Windows AppCert Permissions
Account Control Extensions Service DLLs Weakness Cron Dylib Hijacking
Executable
Installer File
Sudo and Sudo Re-opened Launch Permissions
Caching Applications Daemon AppInit DLLs COR_PROFILER Launchd Weakness
Dynamic
Elevated Execution LSASS Domain Policy Application Linker
with Prompt Driver Modification Shimming Process Injection Scheduled Task Hijacking
Path
Image File Interception by
Execution PATH
Access Token Shortcut Group Policy Options Dynamic-link Environment
Manipulation Modification Modification Injection Library Injection Systemd Timers Variable
Path
Portable Interception by
Token Domain Trust PowerShell Executable Container Search Order
Impersonation/Theft Port Monitors Modification Profile Injection Orchestration Job Hijacking
Create Process with Plist Thread Execution Ptrace System
Token Modification Escape to Host Emond Hijacking Valid Accounts Calls
Event Component
Make and Print Triggered Object Model Asynchronous
Impersonate Token Processors Execution Hijacking Procedure Call Default Accounts Proc Memory
XDG Change Default Exploitation Extra Window
Parent PID Autostart File for Privilege Thread Local Memory
Spoofing Entries Association Escalation Storage Domain Accounts Injection
Hijack
SID-History Execution Process
Injection Active Setup Screensaver Flow VDSO Hijacking Local Accounts Hollowing
Windows
Management Create or
Instrumentation Modify
Boot or Logon Event System Scheduled Process
Autostart Execution Login Items Subscription Process Task/Job Cloud Accounts Doppelgänging
Boot or
Logon Unix Shell
Registry Run Keys / Initialization Configuration Logon Script LC_LOAD_DYLIB
Startup Folder Scripts Modification RC Scripts (Mac) Addition Time Providers
Authentication Logon Script Network Logon
Package (Windows) Trap Startup Items Script No aplica No aplica
Anexo 2
Tablas de táctica y técnicas de ataque para plataformas alojadas en la nube.
A continuación, se presenta las técnicas de ataques para Office 365, Azure AD,
Google Workspace, servicio SaaS, servicio IaaS.
Denegac
Datos de ión de
Cuent Repositor servicio
suplantac Manipula as Ocultar Descubrimi Pesca ios de de
ión de ción de Válida artefactos Fuerza ento de submarin Informaci punto
identidad cuentas s bruta cuenta a interna ón final
Contenid
o Colección Denegac
Debilitar Forjar Tablero de comparti de correo ión de
Cuentas Crear las credenci servicios en do electrónic servicio
Válidas cuenta defensas ales web la nube corrupto o de red
Usar Usar
material Robar material
de token de de
Inicio de autentica acceso a autentica
aplicacion ción la Detección ción
es de alternativ aplicació de servicios alternativ
Office o n en la nube o
Robar Descubrimi
cookie de ento de
Cuentas Cuentas sesión grupos de
Válidas Válidas web permisos
Credenci Descubrimi
ales no ento de
seguras software
Denegació
Modificació Modificació n de
Cuentas Manipulació n de política n de política Fuerza Descubrimient servicio de
Válidas n de cuenta de dominio de dominio bruta o de cuenta punto final
Denegació
Forjar Tablero de n de
Crear Cuentas Cuentas credenciales servicios en la servicio de
cuenta Válidas Válidas web nube red
Robar token Detección de
Cuentas de acceso a servicios en la
Válidas la aplicación nube
Descubrimient
Credenciale o de grupos de
s no seguras permisos
Descubrimient
o de software
Usar
material
de Datos de Denegac
Compro Cuent autenticac Repositor ión de
miso de as ión Descubrimi Pesca ios de servicio
conducci Cuentas Válida alternativ Fuerza ento de submarina Informaci de punto
ón Válidas s o bruta cuenta interna ón final
Denegac
suplantac Forjar Detección Contenido ión de
ión de Cuentas credencia de servicios compartid servicio
identidad Válidas les web en la nube o corrupto de red
Usar
Robar material
token de de
acceso a Descubrimi autenticac
Relación la ento de ión
de aplicació grupos de alternativ
confianza n permisos o
Robar
cookie de Descubrimi
Cuentas sesión ento de
Válidas web software
Credenci
ales no
seguras
APÉNDICE
Apéndice A
Suscripción en los servicios de computación en la nube AWS (Amazon Web
Services).
Datos: Aprobado
Gente: No ejecutado
Dispositivos: Ha fallado