anti/workshops
1
1
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

Compare commits

base: anti:2928ef8581985cce5c94d1f0809e351a03442b07
Branches Tags
anti:main
..
compare: anti:e671ec8ea560e2b0619fce5b8ad10c0d9fecfced
Branches Tags
anti:main

2 Commits
2928ef8581 ... e671ec8ea5

Author SHA1 Message Date
anti
e671ec8ea5 añadido: readme.md 2026-05-19 10:28:51 -04:00
anti
3e6e7593da modified gitignore 2026-05-19 10:27:12 -04:00
2 changed files with 119 additions and 0 deletions
Expand all files Collapse all files

2
QueComanTierra/.gitignore vendored
View File

@@ -2,3 +2,5 @@ stolen_keys.log
vaults/
__pycache__/
*.pyc
slides/redteam_ref.pptx

117
QueComanTierra/README.md Normal file
View File

@@ -0,0 +1,117 @@
# que coman tierra
taller de seguridad ofensiva y defensiva sobre LOLBins y ransomware sin malware.
el nombre viene de la sensación que te da descubrir que un atacante cifró tus servidores enteros sin instalar absolutamente nada.
---
## de qué va esto
los atacantes modernos no necesitan droppers ni ejecutables sospechosos. usan las herramientas que ya vienen en cualquier linux: `openssl`, `find`, `xargs`, `shred`, `cron`. eso se llama "living off the land" y es exactamente por qué el antivirus no sirve de nada contra esto.
en este taller construimos un ransomware funcional con solo binarios del sistema, lo ejecutamos en lab, medimos qué tan rápido destruye archivos y después aprendemos a detectarlo y frenarlo.
---
## estructura
```
QueComanTierra/
ransomware/
loader.sh -- script principal, orquesta todo el ataque
xargs_ransom.sh -- versión paralela con xargs -P (cifrado rápido)
noxargs_ransom.sh -- versión secuencial para comparar tiempos
tarbulk.sh -- variante que cifra todo como un solo blob (< 10s)
scripts/
getkeys.sh -- generación y manejo de claves efímeras
stealdata.sh -- exfiltración de la clave al C2
detection/
falco_rules.yaml -- reglas falco para detectar el comportamiento en runtime
slides/
slides.md -- fuente de la presentación (pandoc/reveal.js)
slides.pptx -- presentación compilada
estructura.md -- notas de estructura del taller
notas.md -- notas del instructor
build_pptx.py -- script para compilar con plantilla corporativa
press/
Tierra.jpg -- imagen de portada
Tierra.pdf -- material de prensa/flyer
```
---
## módulos del taller
1. **el problema invisible** -- qué son los LOLBins y por qué los AV no los paran
2. **el arsenal del sistema** -- `openssl`, `find`, `xargs`, `shred`, `cron` como armas
3. **anatomía de un ataque** -- las 7 fases: reconocimiento, clave, cifrado, destrucción, exfiltración, rescate, persistencia
4. **lab: preparando el plato** -- ejercicios hands-on en VM aislada
5. **defensa: cómo no comer tierra** -- auditd, falco, backups inmutables, mínimo privilegio, runbook de respuesta
6. **cierre** -- recursos y tarea
---
## el lab en números
en un servidor real con `xargs -P 36`:
| variante | archivos | tiempo | ventana de detección |
|---|---|---|---|
| `while` loop | 3.301 | 13m 40s | tienes tiempo de actuar |
| `xargs -P 36` | 3.301 | 1m 49s | necesitas detección automática |
| `tar + openssl` | 3.470 | 4.5s | cuando llegas ya terminó |
el punto del ejercicio es que el `tarbulk` no se puede parar en runtime, solo antes.
---
## requisitos para el lab
- VM ubuntu/debian aislada (sin red real, en serio)
- snapshot limpio para restaurar entre ejercicios
- usuario no-root con home poblado de archivos de prueba
- herramientas: `openssl`, `find`, `xargs`, `shred`, `auditd`, opcionalmente `falco`
**nunca ejecutar los scripts fuera de la VM de lab.**
---
## compilar las slides
```bash
# pptx con plantilla corporativa
pandoc slides/slides.md -t pptx \
--reference-doc="redteam_ref.pptx" \
-o slides/slides.pptx
# reveal.js para presentar en browser
pandoc slides/slides.md -t revealjs -s \
--highlight-style=monokai \
-o slides/slides.html
```
o usar el script incluido:
```bash
cd slides && ./compile.sh
```
---
## referencias
- gtfobins -- catálogo de LOLBins en linux
- lolbas -- equivalente para windows
- mitre att&ck t1486 -- data encrypted for impact
- github.com/neo23x0/auditd -- reglas auditd listas para usar
---
## contexto legal
este material es exclusivamente para uso educativo en entornos controlados. los scripts están documentados para que se entienda cómo funcionan los ataques y cómo detectarlos, no para uso ofensivo real. ejecutar esto fuera de un lab autorizado es ilegal.
---
*2026*