Hoy en día existe una gran cantidad sistemas Windows 10 sin actualizar. Este hecho, puede suponer un verdadero riesgo, no solo para las organizaciones sino para el usuario particular. Como hemos visto, por la pandemia de este año nuestra vida se ha ligado aún más a la tecnología a la hora de trabajar y estudiar, lo que supone una repercusión mayor en nuestras vidas en caso de sufrir un ataque que nos impida acceder a nuestros datos. Por eso, os vamos a mostrar cómo puede afectar el hecho de no tener actualizado tu equipo.
Figura 1: ATTPwn: Emulación de un ataque de ransomware
ATTPwn, como bien sabemos es una herramienta basada en la emulación de adversarios capaz de automatizar la parte ofensiva de este proceso. Habiendo hablado de los aspectos fundamentales de ATTPWn y de cómo desplegar la aplicación ATTPwn dockerizada en post anteriores, hoy vamos a construir uno de los múltiples casos de uso que se pueden realizar con nuestra querida herramienta.
Recordad que ATTPwn es un proyecto que cuenta con una parte colaborativa en la que podéis participar implementando técnicas y compartiéndolas con la comunidad.
El plan que ejecutaremos consiste en realizar un ataque dirigido a un sistema concreto. Para ello, contamos con el siguiente escenario en el que no se ha aplicado la Máxima Seguridad a los equipos Windows y tenemos un sistema Windows 10 comprometido que no cuenta con la actualización 1903 de Windows Update, la cual introducía Tamper Protection. Dicha carencia supone una vulnerabilidad que aprovecharemos para modificar la protección de Windows Defender.
Figura 4: ATTPwn creación de Plan
La estrategia propuesta pretende tener impacto en la máquina objetivo cifrando sus archivos. Para ello y en función de la nomenclatura de MITRE vamos a utilizar las siguientes tácticas que explicaré a continuación:
Una vez realizada la escalada de privilegios es hora de aprovechar la vulnerabilidad comentada anteriormente y deshabilitar la protección a tiempo real de Windows Defender. Para esto utilizaremos el cmdlet Set-MpPreference que configura las preferencias de Windows Defender, en este caso el RealtimeMonitoring.
Ahora, es el momento de descubrir los periféricos conectados al dispositivo para poder establecer un impacto en ellos más adelante. En este caso utilizamos el cmdlet Get-PnpDevice con el parámetro -PresentOnly, que recogerá solo los periféricos conectados en ese momento.
Técnica: T1489 - Service Stop - invoke-servicestop
Utilizando los cmdlet gwmi win32_service y Get-Service se asignan los servicios activos a dos variables. Después con Stop-Service paramos dichos servicios ya que varios de ellos podrían estar utilizando ficheros que más tarde querremos cifrar y que podrían interferir en este proceso.
Figura 9: Función Encrypt-Files
Táctica: TA0040 - Impact
Técnica: T1486 - Data Encrypted for Impact – Encrypt files
Por último, utilizamos las variables de entorno previamente asignadas y recorremos sus rutas en busca de los ficheros que vamos a cifrar. Al ser una emulación, se han recogido menos de 60 ficheros de diversas extensiones y copiado a la ruta: "$env:appdata\encryptedFiles"
Figura 10: Ficheros cifrados como resultado de la ejecución
A continuación, vamos a mostrar un vídeo de la ejecución de esta estrategia con ATTPwn para que puedas ver los resultados.
Figura 11: Ejecución de ATTPwn emulando un ataque de Ransomware
De esta forma y por una sola actualización, nuestro equipo se vería impactado de una forma severa en caso de estar comprometido. Por lo que siempre conviene estar actualizado.
¡Un saludo!
Autor: Luis E. Álvarez (@luisedev) es desarrollador y miembro del equipo Ideas Locas CDCO de Telefónica.