Este libro aborda la seguridad de los sistemas de información desde la perspectiva del lenguaje PowerShell. Está destinado a administradores de sistemas y redes, expertos o consultores en ciber­seguridad, así como a jefes de proyecto o responsables de ciberseguridad que deseen comprender el rol y las capacidades del lenguaje de scripting de Microsoft en el ámbito de la ciberseguridad.

El autor trata la seguridad desde un enfoque pragmático y educativo, presentando tanto las capa­cidades ofensivas como defensivas de PowerShell. Todo ello está ilustrado con ejemplos prácticos implementables en un laboratorio virtual.

La primera parte se centra en los aspectos ofensivos. Los primeros capítulos detallan ejemplos de ataques con PowerShell e invitan al lector a desarrollar su propio ransomware. También se introduce PowerShell Empire, un framework de ataque de código abierto basado íntegramente en PowerShell.

La segunda parte explica las posibilidades defensivas de PowerShell (y cómo eludirlas), incluyendo temas como la firma de código, el establecimiento de cadenas de certificación y mecanismos como AMSI (Interfaz de Escaneo Antimalware) o el modo de lenguaje restringido. Además, se examina la seguridad en los accesos remotos con PowerShell a través de WinRM, WMI o Just Enough Adminis­tration, y seguidamente se exploran técnicas de administración clave para la seguridad, como la pro­tección de los protocolos SMB y RDP, las cuentas de servicio administradas y las suscripciones WMI.

La última parte trata sobre la supervisión de entornos Windows y PowerShell, incluyendo meca­nismos de registro y centralización de registros, hasta la implementación de infraestructuras de supervisión SIEM.

Prólogo

1. Introducción

Fundamentos y configuración del laboratorio

1. Fundamentos de la ciberseguridad
   1. 1. El riesgo y los compromisos de seguridad a lo largodel tiempo
   2. 2. Los cuatro pilares de la seguridad
2. Los diferentes actores de la ciberseguridad
   1. 1. Los equipos de producción
   2. 2. Los equipos cibernéticos
   3. 3. La gobernanza
   4. 4. Los usuarios
   5. 5. Los «atacantes»
3. Los elementos clave de PowerShell para la seguridad
   1. 1. Para los administradores
   2. 2. Para los atacantes
      1. a. Live off the land
      2. b. Fileless attack
4. Configuración del entorno virtual de pruebas
   1. 1. La infraestructura del Lab
   2. 2. Infraestructura de la red
      1. a. VirtualBox
      2. b. pfSense
   3. 3. Infraestructura lógica de Active Directory
      1. a. Windows Server 19
      2. b. Finalizar la configuración de pfSense
      3. c. Creación del dominio Active Directory
   4. 4. Despliegue de los clientes
      1. a. Cliente Windows 10
      2. b. Cliente Windows 7 (opcional)
      3. c. La máquina del atacante: Kali-Linux
5. Conclusión

Los atacantes y PowerShell

1. Algunos ejemplos de ataques
   1. 1. Escaneo de red en PowerShell
      1. a. Definición de un escaneo de red
      2. b. Desarrollo
      3. c. Caso práctico
   2. 2. Ataques sobre KeePass
      1. a. Presentación de KeePass
      2. b. Búsqueda de KeePass en un sistema
      3. c. Análisis del archivo de configuración
      4. d. Bruteforce
      5. e. Algunas buenas prácticas con respecto a KeePass
   3. 3. Kerberoasting
      1. a. Introducción
      2. b. La instalación
      3. c. Ataque
      4. d. Resumen
   4. 4. Cifrado
      1. a. «Se dice cifrar»
      2. b. Los atacantes
      3. c. Cifrado y descifrado asimétricos en PowerShell
      4. d. Cifrado y descifrado simétrico en PowerShell
      5. e. Resumen
2. Un caso en la vida real: Emotet
3. Conclusión

Malware casero

1. Introducción
2. ¿Cómo se estructura un malware?
3. Etapa 1: el dropper Memory Only
4. Etapa 2: el servidor de contenidos
   1. 1. Servidor HTTP en Python
   2. 2. Servidor HTTP en PowerShell
5. Etapa 3: el C&C y el reverse shell
   1. 1. El C&C: escuchar al servidor
   2. 2. El reverse shell: establecer une comunicación
   3. 3. Acción
6. Etapa 4: el ransomware
   1. 1. Cifrado
   2. 2. Descifrado
7. El ataque, paso a paso
8. Conclusión

PowerShell Empire

1. Historia y presentación
2. Despliegue
   1. 1. Fuentes y documentación
   2. 2. Instalación
      1. a. Empire
      2. b. Starkiller
      3. c. API REST de Empire
3. Utilización de Empire para atacar un sistema de información
   1. 1. Help!
   2. 2. Listeners
      1. a. Presentación
      2. b. Un primer listener
      3. c. Análisis del dropper asociado
      4. d. Ejecución del launcher
   3. 3. Stagers
      1. a. Presentación
      2. b. Creación de un stager
      3. c. Empaquetar el lanzador en una macro
      4. d. Abrir un archivo adjunto con trampa
   4. 4. Agentes
      1. a. Presentación
      2. b. Interactuar con un agente
      3. c. Elevación de privilegios en Windows 7
      4. d. Enfoque en el ataque ByPass UAC
   5. 5. Módulos
      1. a. Elevación de privilegios para W10
      2. b. Recolección de información
      3. c. Persistencia
   6. 6. Propagación
      1. a. Bruteforce de la contraseña de Administrador
      2. b. Robo del token
      3. c. Pivote SMB y RDP
      4. d. Restricted Admin mode, RDP y pass-the-hash
   7. 7. Scripts
      1. a. NTDS
      2. b. DSInternals
4. Conclusion

Proteger PowerShell

1. Introducción
2. Suprimir PowerShell
   1. 1. ¿Desinstalar, desactivar o bloquear?
   2. 2. Bloquer PowerShell por GPO
   3. 3. Controlar el bloqueo
   4. 4. Algunas consideraciones
3. Execution policy
   1. 1. Presentación
   2. 2. Configuración
      1. a. Local
      2. b. Dominio
   3. 3. Probar y eludir
      1. a. Probar
      2. b. Eludir
   4. 4. Resumen
4. Code signing
   1. 1. Presentación
   2. 2. Implementar una Autoridad de Certificaciónpara el código signing
      1. a. Autoridad raíz
      2. b. Servidor de lista de revocación
      3. c. Autoridad intermedia
      4. d. Certificado de firma de usuario
      5. e. Desplegar el certificado de la AC
      6. f. Desplegar el certificado del usuario
      7. g. Uso de XCA para una PKI empresarial
   3. 3. Ejemplo de code signing
      1. a. Firmar un script
      2. b. Timestamping
   4. 4. Resumen
5. AMSI
   1. 1. Presentación
   2. 2. AMSI: banco de pruebas
   3. 3. Visor de eventos
   4. 4. Resumen
6. Conclusión

Restringir PowerShell

1. Introducción
2. Remote PowerShell
   1. 1. PSSessions, WS-Management y WinRM
      1. a. Sesiones
      2. b. Seguridad de las comunicaciones en red
      3. c. Activar WinRM
   2. 2. Seguridad de WinRM
      1. a. Firewall
      2. b. Control de acceso mediante grupo AD y GPO
      3. c. Control de acceso SDDL
      4. d. HTTPS
      5. e. Autenticación por certificados
   3. 3. WMI
      1. a. Firewall
      2. b. Control de acceso
      3. c. Iniciar un proceso de forma remota
      4. d. Resumen
3. PowerShell JEA: Just Enough Administration
   1. 1. Presentación
   2. 2. Estrategia de implementación
   3. 3. Capacidad de roles
   4. 4. Configuración de sesiones
   5. 5. Activar y desactivar la configuración JEA
   6. 6. Probar JEA
   7. 7. Resumen
4. Constrained Language Mode y AppLocker
   1. 1. Language Mode
   2. 2. AppLocker
      1. a. Bloquear la ejecución de scripts con AppLocker
      2. b. AppLocker y los registros de eventos
   3. 3. Lenguaje restringido con WDAC
      1. a. Configuración
      2. b. Eludir parcialmente
   4. 4. Resumen
5. Conclusión

Defender su SI con PowerShell

1. Introducción
2. Endurecimiento
   1. 1. RDP: Remote Desktop Protocol
      1. a. Autenticación, NLA y gestión deacceso
      2. b. Firewall
   2. 2. Configurar TLS
   3. 3. SMB
      1. a. Server Message Block - Presentación
      2. b. Forzar SMB v3
      3. c. Resumen
3. Windows Firewall
   1. 1. ¿Qué es un cortafuegos?
   2. 2. Aplicar una directiva No-inbound
   3. 3. Rastrear las conexiones de red
   4. 4. Resumen
4. Defender y controlar su AD
   1. 1. Las cuentas de servicio gestionadas
   2. 2. AdminSDHolder
5. Live-forensics y PowerShell
   1. 1. WinRM y el live-forensics
   2. 2. WMI: suscripciones a eventos del sistema
      1. a. Ejemplos de consultas WQL
      2. b. Filtros, consumidor y binding
   3. 3. Algunos ejemplos de suscripciones WMI
      1. a. Suscripción permanente: detecciónde nuevos dispositivos
      2. b. Suscripción temporal: detecciónde un inicio de proceso en PowerShell
   4. 4. Persistencia para atacantes
6. Conclusión

Supervisar PowerShell

1. Introducción
2. Recoger registros de Windows y Sysmon
   1. 1. Supervisar los registros de Windows con PowerShell
   2. 2. Implementar Sysmon
   3. 3. Transferir los registros de Sysmon a un servidor Syslog
      1. a. WinEventForwarding
      2. b. Reenviar a un servidor syslog
   4. 4. Resumen
3. Los registros PowerShell
   1. 1. Registros de PowerShell
   2. 2. Transcripción
   3. 3. Script Block Logging
   4. 4. Protected Event Logging
   5. 5. Resumen
4. Control con un SIEM
   1. 1. Instalar una instancia Splunk
   2. 2. Indexar los primeros registros
      1. a. Inyectar un archivo de registro y crear el tipo defuente
      2. b. Monitorizar una carpeta
   3. 3. Algunas reglas de detección simples paraPowerShell
      1. a. Observar los eventos brutos
      2. b. Trabajar y filtrar sobre campos
      3. c. Hacer estadísticas
      4. d. Configurar una alerta
      5. e. Para ir más allá con Splunk...
5. Conclusión

Conclusión

1. Conclusión