Información oculta en el Registro de Windows


10 de julio de 2020, por Guus Beckers, especialista en seguridad de Bureau Veritas Cybersecurity
Xpbliss

Nuestros investigadores se topan con todo tipo de información sensible durante los compromisos de Red Teaming. Aunque esta información suele reservarse para la recopilación de datos forenses por parte de los servicios policiales, también es de gran valor para los atacantes que buscan infiltrarse en redes informáticas.


La recopilación de información para elevar privilegios en los sistemas clave de una organización es una parte integral de la cadena de muerte del Red Teaming, concretamente de las fases de "Descubrimiento" y "Escalada de privilegios". Se recopila información, que a su vez se utiliza para pivotar entre sistemas dentro de la infraestructura de red más amplia.

En este blog, Guus Beckers describirá cómo el Registro de Windows oculta información de gran valor para los posibles atacantes.


1. Introducción

"Todo contacto deja un rastro", este principio fue acuñado por el Dr. Edmond Locard en el siglo XX. Desde entonces se ha convertido en una piedra angular de las ciencias forenses. El Dr. Locard se refería a las huellas en el mundo físico, rastros de sangre, fibras de tela y mechones de pelo entre otros. Sin embargo, es igualmente cierto en el ámbito de los dispositivos informáticos y las redes de ordenadores, con nombres de documentos, ubicaciones de red y comandos del sistema como algunos ejemplos equivalentes. Toda esta información se introduce sin pensarlo dos veces y es retenida por el sistema operativo para mayor comodidad. Cuando los sistemas informáticos de los empleados se ven comprometidos, estos rastros de información pueden ser utilizados por los atacantes para obtener un mayor conocimiento del empleado afectado, del sistema informático o de la red informática. Una de las fuentes más importantes del sistema operativo Windows es el registro, es una base de datos y conserva la mayoría de los ajustes del sistema.

Almacena una amplia gama de información como:

  • Información relacionada con las redes conectadas;
  • Nombre e información detallada sobre cualquier red inalámbrica (previamente conectada);
  • Contenido de los cuadros de diálogo Abrir/Guardar (para obtener una visión general de los archivos existentes);
  • Cuántas veces se ha iniciado un programa, la ubicación del programa, incluso si se ha eliminado o desinstalado;
  • Programas que se inician al arrancar el ordenador;
  • Zona horaria;
  • Dispositivos conectados;
  • Dispositivos de almacenamiento USB conectados.

Con la experiencia adecuada, estos conocimientos pueden encontrarse y reutilizarse.

Adobestock 69955791

2. Recopilación de información sensible

Considere el siguiente escenario, un ejecutivo está utilizando su ordenador portátil y un hacker ha conseguido introducirse en él. Una de las fuentes de información más valiosas es el registro de Windows, se encuentra en el núcleo del sistema operativo Windows. Funciona como la base de datos de configuración y realiza un seguimiento de los archivos esenciales del sistema, las aplicaciones instaladas, la configuración del usuario y muchos otros tipos de datos. Como tal, contiene una gran cantidad de información. Aunque está bien protegido, cada cuenta de usuario necesita tener acceso al registro para cargar partes vitales del sistema operativo. Así, cada cuenta de usuario tiene acceso al registro y puede leer datos del mismo. Los datos disponibles en el registro pueden utilizarse para una gran variedad de propósitos.

Utilizando unos pocos comandos del sistema, el atacante es capaz de ver la lista de puntos de acceso inalámbricos conectados previamente. Como característica de comodidad, Windows almacena la ubicación de las redes conectadas previamente para garantizar que también funcionará en futuras visitas. El pirata informático puede ver que el ejecutivo ha visitado algunos hoteles, así como varias oficinas de su propia empresa situadas en Estados Unidos. La información sobre la zona horaria obtenida del registro coincide con la de una de las oficinas, lo que hace probable que el ejecutivo tenga su base en ese lugar concreto. Al profundizar en el registro se descubren las aplicaciones informáticas más utilizadas por este usuario, incluida una versión antigua de Microsoft Office con algunas vulnerabilidades prometedoras. Es probable que muchos dispositivos de la empresa utilicen la misma versión. El atacante tiene ahora una idea bastante clara de qué hacer a continuación y puede utilizar las mismas técnicas (y otras ubicaciones dentro del registro) para recopilar información valiosa sobre otros dispositivos.

El Siguiente paso es rastrear el sistema en busca de más información sobre el propio individuo. Una fuente de información ideal es el historial del navegador web, que informará al atacante sobre las actividades más recientes del usuario, incluidos los sitios web visitados, así como el número de visitas a los específicos. Esta información, correlacionada con otros datos temporales, puede informar al atacante sobre las aficiones, el trabajo, la familia y otros muchos intereses de su objetivo. Los navegadores web contienen datos sensibles sobre los individuos, utilizando los datos recopilados así como su historial compartido (que incluye los archivos descargados y la información de los motores de búsqueda), un atacante sin escrúpulos éticos podrá hacerse una idea de los deseos y dudas del individuo. La información adquirida puede, a su vez, utilizarse durante campañas de (spear) phishing. Obviamente, otros archivos presentes en el dispositivo también son un objetivo atractivo para los piratas informáticos, que posiblemente revelen información aún más interesante.

Person behind computer

3. Prevención

El escenario exacto descrito anteriormente es ficticio pero es factible de ejecutar en un encuentro real. Todos los datos descritos en el escenario pueden obtenerse con bastante facilidad una vez que la cuenta de un empleado se ve comprometida y el atacante inicia sesión con privilegios de usuario. La información obtenida puede utilizarse como trampolín para seguir infiltrándose en la organización. Las reglas de prevención siguen siendo válidas, proteja las cuentas de usuario con una contraseña segura, mantenga la security awareness y utilice las mejores prácticas relacionadas con la seguridad de la información para proteger su organización.

Si tiene alguna pregunta relacionada con la seguridad de su información, Contáctenos en cybersecurity@bureauveritas.com.