Antonio Sanz Profile picture
Fighting evil 24x7. Incident Response & Digital Forensic guy, infosec maniac... and a damn good cook. My team is blue #DFIR - antoniosanzalc@infosec.exchange
Jan 10 8 tweets 2 min read
Un proyecto brutal para empezar en #ciberseguridad (y bueno, en casi cualquier cosa moderna de IT). Móntate un lab en casa. Aprenderás redes, sistemas, virtualización, algo de hardware y DevOps ... y podrás tener un sitio perfecto para tus ejercicios de Red/Blue Team (1/n) Mi propuesta: pilla un server de 2º mano en Ebay, hay cosas muy interesantes (1min de mirar y mira lo que tienes por alrededor de 300€): O mejor: móntate uno con una placa china nueva con cosas como esta por unos 700€: (2/n)ebay.co.uk/itm/1452440650…
ebay.co.uk/itm/1452440650…
Dec 4, 2023 8 tweets 2 min read
En un incidente teníamos que extraer un conjunto de datos de una fuerza bruta ¿Qué pasa cuando tienes que analizar 4Tb de datos? !Vamos al lío! Lo primero es cómo sacar los datos del sistema, porque por la red parecía ser eteeeerrrrno (1/n) Lo solventamos con dos acciones: 1) Comprimir los datos (se quedaron en 400Gb, los logs se comprimen muy bien), 2) Pinchar un disco SSD USB directamente al servidor y trincarlos a velocidad del rayo (hora y pico realmente) (2/n)
Dec 22, 2020 8 tweets 2 min read
Un detalle muy importante sobre los ataques de #ransomware es que el foco se pone en la erradicación y en la recuperación (lógico pq tienes la casa patas arriba), pero se suele dejar aparcada una tarea fundamental: encontrar el vector de entrada (1/n) El #ransomware no ha llegado solito a tu red, alguien lo ha puesto ahí. Los atacantes han pululado alegremente por tu red hasta encontrar privilegios suficientes como para poder desplegar Ryuk, Egregor, DoppelPaymer o cualquier otra hijoputez de moda en el momento (2/n)
Dec 9, 2020 4 tweets 2 min read
El patch tuesday de ayer ha traído cola. En primer lugar CVE-2020-17049 (aka Kerberos Bronze Bit), que como su nombre indica permite abusar del pobre Kerberos para, siendo el usuarioA, poder hacer cositas como el usuarioB (sí, aunque usuarioB sea admin de dominio) 1/n Aquí la teoría: blog.netspi.com/cve-2020-17049… y aquí la práctica: github.com/SecureAuthCorp… La solución (que deberías hacer hoy, pq la PoC es pública) es parchear tus DC ahorita mismo, chombatta 😉 2/n
Nov 24, 2020 6 tweets 2 min read
El otro día resolvimos un incidente de #ciberseguridad en un cliente. En la fase de lecciones aprendidas (casi siempre la olvidada) pensamos: "los hemos pillado pq han sido avariciosos, si hubieran ido más despacio podrían haber estado meses aquí". Moraleja de los atacantes (1/n) Los atacantes TIENEN prisa. Los imaginamos como llenos de exploits y expertos en todo... pero son como nosotros, con jefes, objetivos, plazos, cosas que se les dan bien y cosas que ... no tan bien. Y fueron RÁPIDO pq a lo mejor pensaron que no les íbamos a pillar (2/n)
Oct 21, 2020 12 tweets 4 min read
La semana pasada me dejé pendiente hablar de respuesta ante incidentes en #ciberseguridad. Vamos a contar algunas cosas :). Lo primero las fases: preparación, detección, análisis, contención, erradicación, recuperación y lecciones aprendidas. Dentro hilo 1/n La preparación se hace de forma previa a cualquier incidente, y lo ideal es conseguir que tu infraestructura sea capaz de recoger toda la info posible para que luego podamos resolver el incidente. Parece fácil de decir, pero en la realidad poca gente lo tiene 100% 2/n
Oct 14, 2020 5 tweets 1 min read
Tú no lo sabes, pero tienes dentro a un grupo de #ransomware que no puede progresar pq has bastionado bien. Están jodidos, pero no son tontos, y en lugar de hacer ruido se han quedado hibernando hasta que salga esa PoC que les permita elevar privilegios y liártela parda 1/n. El bastionado tan solo te da TIEMPO y OPORTUNIDAD. Un atacante determinado al final encontrará "ese" sistema sin parchear, "ese" fichero con las pass en un .txt... El objetivo del bastionado es denegar/degradar la capacidad del atacante, forzándole a salir de su "zona de comfort"