Blog de ManuSec

  Shodan es un motor de búsqueda especializado que permite encontrar dispositivos conectados a Internet , como servidores, cámaras IP, routers, sistemas SCADA, IoT, y más. A diferencia de Google, que indexa sitios web, Shodan indexa información de los servicios expuestos (banners) y puede mostrar: Puertos abiertos Versiones de software Localización geográfica Información del sistema operativo Posibles vulnerabilidades (si están asociadas) Es ampliamente utilizado en ciberseguridad , auditorías y reconocimiento avanzado para detectar configuraciones inseguras o dispositivos expuestos. Con su versión gratuita, podemos hacer numerosas busquedas de equipos vulnerables, camaras expuestas, servidores mal configurados, etc. Aunque con esta versión no podemos usar la busqueda con los " Vulnerability search filter" (solo disponible con la versión de pago) que nos permite hacer busquedas especificas de vulnerabilidades de una forma más completa y tirando a tiro fi...

En las últimas semanas, España ha estado en el centro de una oleada de ciberataques que han afectado a diversas instituciones y empresas. Analizamos la evolución de estos incidentes y cómo han impactado en el país. Semana del 5 al 11 de marzo de 2025 Durante esta semana, España se convirtió en el país más afectado por ciberataques a nivel mundial, registrando 107 incidentes, lo que representa el 22,6% del total global.  El grupo de hackers prorruso NoName057 se atribuyó 105 de estos ataques, dirigidos principalmente a instituciones gubernamentales y empresas españolas. El Corte Inglés, Legálitas, Servicios de CC.OO, varias diputaciones provinciales y varios ayuntamientos entre muchos otros fueron el objetivo de estos ciberataques. A nivel estatal, ha sido notorios los ataques a: Ministerio de Defensa Ministerio de Inclusión, Seguridad Social y Migraciones Centro Criptológico Nacional (CCN) Fundación Real Instituto Elcano Entre muchas de las consecuencias de estos ciberataques. se h...

Hola a todos.  El otro dia, se me ocurrió crear un honeypot para Windows Server con Wazuh. La idea es crear una carpeta jugosa, de tal manera que si un usuario malevolo entra por SMB a ella nos demos cuenta enseguida y nos lo muestre nuestro Wazuh. Al fin y a cabo, una de las primeras cosas que se hacen cuando entran a nuestra intranet corporativa es ver que recursos compartidos tenemos disponibles y que hay dentro de ellos. Por cierto, se presupone que tenemos una instalación de Wazuh: https://documentation.wazuh.com/current/quickstart.html Y un equipo Windows Server 20222 unido a el: https://documentation.wazuh.com/current/installation-guide/index.html#installing-the-wazuh-agent Me puse manos a la obra, creé un usuario jugoso "Admin1" con una contraseña de esas que están en listas como rockyou y demas.. facilonas de averiguar.. Además, por seguridad, he puesto la cosa para que no pueda iniciar sesión en ningun lado y que el usuario esté muy limitadido.. Creé una carpeta com...

  En este video configuramos un potente XDR SIEM OpenSource (WAZUH) y vemos sus aspectos más relevantes.

  Kerberos es un protocolo de autenticación de redes de creado por el MIT que permite a dos ordenadores en una red demostrar su identidad mutuamente de manera segura. Windows usa este protocolo por defecto para la autenticación segura en Windows y en un Active Directory en contraposición con NTML. Kerberos es un vector de numerosos ataques como Pass-the-Ticket. Golden Ticket, Silver Ticket, Kerberoasting, etc. de acceso y perpsistencia enfocado en la matriz de Mitre en «Credential Access». Mediante Metasploit hemos realizado un una conexion reversa a una maquina Windows Server 2022. Luego mediante el módulo de post explotación  phish_windows_credentials  le enviamos un popup pidiendo una autenticación al usuario de Windows Server. Cuando el usuario entra sus credenciales en el cuadro de dialogo del sistema podremos obtenerlas en Metasploit. En Wazuh, podemos ver una serie de alertas relacionadas con el ataque, en concreto unas alertas con unas peticiones de tickets d...

PowerShell Remoting   es una característica de Windows que permite a los administradores ejecutar comandos, scripts e incluso iniciar sesiones interacticas en otros equipos dentro del directorio activo. PowerShell Remoting usa las credenciales que tenemos actualmente para autenticarse en el sistema remoto. Esta funcionalidad se basa en el uso de protocolos como WS-Management y utiliza el puerto 5985 para HTTP y 5986 para HTTPS. Un ejemplo de uso de PowerShell Remoting seria ejecutar en PowerShell con un usuario autorizado en el equipo remoto el siguiente comando para hacer el equivalente a un dir a C:\:  New-PSSession -ComputerName equipoDC Invoke-Command -ComputerName equipoDC -ScriptBlock {Get-ChildItem c:\} Sin embargo, como cualquier herramienta, también puede ser explotada por atacantes si no se maneja adecuadamente. Por ello, en entornos donde no es absolutamente necesario, deshabilitar PowerShell Remoting puede ser una medida de seguridad interesante. Aunque es una herr...