Open-source Intelligence | OSINT Training for Beginners | CodeRed.eccouncil

This is a comprehensive course that will be using free open-source tools to investigate people and companies you will learn about OSINT (open-source intelligence) from a hacker's point of view.

Desde el rastreo de LinkedIn hasta los ataques a Office 365: cómo los atacantes identifican los eslabones más débiles de tu organización

Comprendiendo las técnicas y herramientas que utilizan los atacantes en los ataques de phishing dirigidos.

Los atacantes utilizan una gran variedad de técnicas para infiltrarse en las redes corporativas, pero la más eficaz es descubrir quién trabaja para una empresa y luego dirigir los ataques de phishing a esos empleados.

El famoso hacker Kevin Mitnick usó una edición escrita de quién es quien de los propietarios de compañías en Washington para obtener más información sobre las empresas locales, sin embargo, hoy en día todos tenemos acceso a una base de datos mucho mejor que expone mucha más información: LinkedIn. La red social es a menudo el punto de partida para determinar quién es un buen objetivo en una organización, así como una fuente de nombres de usuario y direcciones de correo electrónico.

Del rastreo de LinkedIn a los ataques a Office 365

Como se indica en  OSINTframework, hay varias herramientas utilizadas por los atacantes para rastrear la información de LinkedIn.  Las herramientas de rastreo como LinkedInt, ScrapeIn e Inspy permiten al atacante enumerar las direcciones de correo electrónico de los dominios.

Una vez que el atacante tiene las direcciones de correo electrónico de los usuarios objetivo, existen varias técnicas que los atacantes pueden utilizar para infiltrarse en una red.

Una herramienta que apunta específicamente a Office 365, office365userenum permite a un atacante revisar una lista de posibles nombres de usuario y luego observar la respuesta. Dado que muchos nombres de usuario comienzan con la dirección de correo electrónico, el posible atacante puede determinar primero las direcciones de correo electrónico de las redes sociales y, a continuación, utilizar esos correos electrónicos para ver si hay cuentas de usuario válidas.  Una vez que el atacante encuentra nombres de usuario válidos, puede enumerar una lista de usuarios válidos que pueden ser objeto de más ataques.   La herramienta envía un comando al servicio activesync, que luego responde con códigos que los atacantes pueden usar para determinar si el nombre de usuario existe o no.

Los atacantes pueden entonces intentar directamente comprometer la cuenta mediante la fuerza bruta adivinando la contraseña del usuario, o pueden utilizar la pareja dirección de correo electrónico/nombre de usuario en ataques de phishing dirigidos a usuarios válidos conocidos.  La herramienta office365userenum expone al atacante qué usuarios tienen habilitada la autenticación multifactor y cuáles no para identificar mejor los eslabones débiles de la organización.  Los buzones de correo compartidos que se utilizan para servicios o procesos, y que es menos probable que sean supervisados por los usuarios y a menudo no tienen contraseñas fuertes o carecen de autenticación multifactor, son en la mayoría de las ocasiones un eslabón débil que se utiliza para los ataques de fuerza bruta para adivinar contraseñas y obtener acceso a la red.

Prevención de los ataques a Office 365

Microsoft ha considerado que esta secuencia de ataque de enumeración de usuarios no es una vulnerabilidad sino una característica del servicio activesync.  Por lo tanto, no hay forma de deshabilitar este servicio para que no responda. Sin embargo, podemos configurar alertas para que sepamos si un usuario tiene varios inicios de sesión fallidos en un corto período de tiempo, lo que indica que los atacantes están analizando nuestra red.

Los ataques de phishing se utilizan con tanta frecuencia como medio para atacar las cuentas de Office 365 que los consultores que controlan otras cuentas de clientes han sido un objetivo clave en los ataques.  Desde el 1 de agosto, Microsoft ha ordenado que los socios y consultores que gestionan las cuentas de otros clientes tengan habilitada la autenticación multifactor.  Si trabajamos con un consultor que nos asiste en la implementación de Office 365, nos tenemos que asegurar de que conoce estas obligaciones y que está haciendo todo lo posible para evitar ser la vía de entrada en nuestras redes.  Nos debemos asegurar de que también han desactivado la autenticación básica.

Si tienes la suerte de asistir a la próxima conferencia de Black Hat Security en Las Vegas, la charla de Mark Morowczynski, director principal de programas de Microsoft, y el director de tecnología de Trimarc Sean Metcalf, titulada "Attacking and Defending the Microsoft Cloud (Office 365 & Azure AD)", explorará algunos de los ataques más comunes contra la nube de Microsoft, incluidos los ataques de password spraying, que han llegado a ser tan frecuentes que incluso el US Cert los ha identificado como un problema.

Microsoft tiene una entrada en el blog completa y detallada sobre las acciones que se pueden realizar para ayudar a protegernos de las técnicas de password spraying, y hay otras entradas en la web con las acciones que se pueden realizar, pero se reducen a configurar la autenticación multifactor y cambiar la política de contraseñas, además de concienciar a los usuarios para evitar contraseñas débiles que se adivinen con facilidad.

Los usuarios son, de hecho, nuestros eslabones más débiles. Debemos tomarnos el tiempo que haga falta para revisar cómo nuestra empresa puede ser un objetivo jugoso para un ataque.

Traducido del original de Susan Bradley de CSO Online con algunas modificaciones