afsh4ck.gitbook.io
Open in
urlscan Pro
172.64.147.209
Public Scan
Submitted URL: http://afsh4ck.gitbook.io/ethical-hacking-cheatsheet/active-directory/active-directory/hardening-en-ad
Effective URL: https://afsh4ck.gitbook.io/ethical-hacking-cheatsheet/active-directory/active-directory/hardening-en-ad
Submission: On October 30 via api from US — Scanned from DE
Effective URL: https://afsh4ck.gitbook.io/ethical-hacking-cheatsheet/active-directory/active-directory/hardening-en-ad
Submission: On October 30 via api from US — Scanned from DE
Form analysis 0 forms found in the DOM
Text Content
Cheatsheet
Más
BuscarCtrl + K
* Introducción
* 👾Ethical Hacking Cheatsheet
* 📕Metodología OSSTMM
* 📘MITRE Att&ck
* 🔢Proceso de Pentesting
* 💻Instalación del entorno
* 💻Instalación de VMWare
* 💻Virtualizar Kali Linux
* 🎨Personalización del entorno
* 📔Organización y Notas
* 👜Documentación
* Sistemas básicos
* 🐧Linux
* 🪟Windows
* 🍏MacOS
* Recopilación de información
* 🌐Google Hacking
* 🌐Google Dorks
* 💻Enumeración
* 💻Metodología
* 💻FTP
* 💻SMB
* 💻NFS
* 💻DNS
* 💻SMTP
* 💻IMAP/POP3
* 💻SNMP
* 💻MySQL
* 💻MSSQL
* 💻Oracle TNS
* 💻IPMI
* 💻Protocolos de Administración Remota - Linux
* 💻Protocolos de Administración Remota - Windows
* 💻Footprinting Lab - Easy
* 💻Footprinting Lab - Medium
* 💻Footprinting Lab - Hard
* 🔎Recopilación de información
* 🔎Recopilación Pasiva
* 🔎Subdominios - Pasiva
* 🔎Identificar Tecnologías
* 🔎Infraestructura - Pasiva
* 🔎Fingerprinting
* 🦭FOCA
* 🧠OSINT
* 💻Recopilación Activa
* 💻Reconocimiento automatizado
* 💻Nmap
* 💻Nmap Scripting Engine
* 💻Subdominios - Activa
* 💻Infraestructura - Activa
* 💻Virtual Hosts
* 💻Evasión de IDS
* 💻Escaneo Avanzado
* 💻Lab - Recopilación
* 🕸️Fuzzing
* 🕸️Crawling
* 🕸️Scrapy y ReconSpider
* 🕸️Herramientas de Crawling
* 🕸️Gobuster
* 🕸️Ffuf
* ☁️Hacking en CMS
* 🍏Hacking en MacOS
* Análisis de vulnerabilidades
* 👾Análisis con Nmap
* 👽Herramientas de Análisis
* ⚙️Nessus
* ⚙️OpenVAS
* 🖖VPLE
* Explotación de vulnerabilidades
* 💣Explotación en Hosts
* 🔥Acceso básico
* 🐚Shells y Payloads
* 🐚Bind Shells
* 🐚Reverse Shells
* 🐚Payloads
* 💣Metasploit Payloads
* 🐚TTY Shells
* 🐚Webshells
* 🐚Laudanum
* 🐚PHP Webshell
* 💣Lab de explotación
* 🔎Buscador de exploits
* 🔑Password Attacks
* 🔑Cracking de Contraseñas
* 🔑Bruteforce de Servicios
* 🔑Password Mutations
* 🔑Contraseñas por defecto
* 🔑Windows Attacks
* 🔑Atacando a SAM
* 🔑Atacando a LSASS
* 🔑Atacando Active Directory
* 🔑Credential Hunting - Windows
* 🔑Linux Attacks
* 🔑Credential Hunting - Linux
* 🔑Passwd, Shadow y Opasswd
* 🔑Archivos Protegidos
* 🔑Archivos Comprimidos
* 🔑Políticas de Contraseñas
* 🔑Administradores de Contraseñas
* 🔑Labs de contraseñas
* 🔑Lab de contraseñas - Easy
* 🔑Lab de contraseñas - Medium
* 🔑Lab de contraseñas - Hard
* 👾Atacando Servicios Comunes
* 👾Ataques a FTP
* 👾Ataques a SMB
* 👾Ataques a Bases de Datos
* 👾Ataques a RDP
* 👾Ataques a DNS
* 👾Ataques a Emails
* 👾Labs - Common Services
* 👾Lab - Easy
* 👾Lab - Medium
* 👾Lab - Hard
* 🔁Pivoting, Tunelling y Port Forwarding
* 🔁Redes en Pivoting
* 🔁Port Forwarding
* 🔁Remote/Reverse Port Forwarding con SSH
* 🔁Meterpreter Tunneling & Port Forwarding
* 🔁Pivoting con Socat
* 🔁SSH para Windows: plink.exe
* 🔁Pivoting SSH con Sshuttle
* 🔁Web Server Pivoting con Rpivot
* 🔁Port Forwarding con Windows Netsh
* 🔁Túnel DNS con Dnscat2
* 🔁SOCKS5 Tunneling con Chisel
* 🔁ICMP Tunneling con SOCKS
* 🔁RDP y SOCKS Tunneling con SocksOverRDP
* 🔁Pivoting: Skills Assessment
* 🔁Port Forwarding dinámico
* 🧨MetaSploit
* 💊MsfVenom
* 🐍Hydra
* ❌BruteX
* 🔄File Transfers
* 💿Buffer Overflow en Linux
* 💣Explotación en Web
* 💡Web Proxies
* 💡Configuración
* 💡Interceptando solicitudes
* 💡Interceptar respuestas
* 💡Modificación automática
* 💡Solicitudes repetidas
* 💡Encoding / Decoding
* 💡Herramientas de Proxy
* 💡Burp Intruder
* 💡Zap Fuzzer
* 💡Burp Scanner
* 💡Zap Scanner
* 💡Extensiones
* 💡Proxy: Skills Assestment
* 💉SQL Injection
* 💉SQLMap
* 💉Introducción a SQLMap
* 💉SQLMap - HTTP Request
* 💉SQLMap - Manejo de errores
* 💉SQLMap - Ajuste del ataque
* 💉SQLMap - Enumeración Básica
* 💉SQLMap - Enumeración Avanzada
* 💉SQLMap - Bypass de protección web
* 💉SQLMap - Explotación de S.O.
* 💉SQLMap - Skills Assessment
* 💉Command Injection
* 💿Cross Site Scripting (XSS)
* 💿XSS Stored
* 💿XSS Reflected
* 💿XSS DOM-Based
* 💿XSS Discovery
* 💿XSS Payloads
* 💿Defacing con XSS
* 💿Phising con XSS
* 💿Session Hijacking
* 💿Prevención de XSS
* 💿XSS - Skills Assessment
* ⬆️File Uploads
* ⬆️Ausencia de validación
* ⬆️Explotación de subida
* ⬆️Client-Side Validation
* ⬆️Filtros de Blacklist
* ⬆️Filtros de Whitelist
* ⬆️Filtros de tipo
* ⬆️Cargas de archivos limitadas
* ⬆️Otros ataques de carga
* ⬆️Prevención en carga de archivos
* ⬆️File Uploads - Skills Assessment
* 💣DDoS Attack
* 📁Local File Inclusion
* 👨🍳Cyberchef
* 💣Explotación en Redes
* 😎Man in the middle
* 🎣Phising
* 🤼Ingeniería Social
* 🔐Bruteforce a RRSS
* 🌐Hacking WiFi
* 🌐Conceptos básicos
* 🌐Redes Básicas
* 🌐Sniffing
* 🌐Deauth
* 🌐Redes ocultas
* 🌐WEP Cracking
* 🌐Ataque a WEP
* 🌐Fake Autentication
* 🌐Packet Injection
* 🌐ARP Request Replay
* 🌐Chop Chop
* 🌐Fragmentation
* 🌐Redes SKA
* 🌐WPS Cracking
* 🌐WPA/WPA2 Cracking
* 🌐Rainbow Table
* 🌐WPA/WPA2 Enterprise
* 📕Diccionarios Custom
* 📕Crunch
* 📕CeWL
* 📕Cupp
* 📕DyMerge
* Post Explotación
* 💻Post Explotación
* 👾Meterpreter
* 🐈Mimikatz
* 🔐LaZagne
* 📩Procdump y lsass.exe
* ↔️Movimientos Laterales
* ↔️Pass the Hash (PtH)
* ↔️Pass the Ticket (PtT) - Windows
* ↔️Pass the Ticket (PtT) - Linux
* 🚪Backdoor en binarios
* 🦅Covenant
* ⚔️Koadic
* 💾Bases de datos
* 💾MySQL
* 💾PostgreSQL
* ⚙️P.E. Avanzada
* 🧼Borrado de evidencias
* 🌋Escalada de Privilegios
* 🐧Linux P.E.
* 🐧Linux - Enumeración del entorno
* 🐧Linux - Enumeración de servicios y componentes internos
* 🐧Linux - Búsqueda de credenciales
* 🐧Linux - Abuso de PATH
* 🐧Linux - Abuso de comodines
* 🐧Linux - Shells restringidos
* 🐧Linux - Permisos especiales
* 🐧Linux - Abuso de permisos Sudo
* 🐧Linux - Grupos privilegiados
* 🐧Linux - Capabilities
* 🐧Linux - Servicios vulnerables
* 🐧Linux - Abuso de Cron
* 🐧Linux - Contenedores
* 🐧Linux - Docker
* 🐧Linux - Kubernetes
* 🐧Linux - Logrotate
* 🐧Linux - Técnicas varias
* 🐧Linux - Exploits del kernel
* ⬆️Linpeas
* 🔴GTFOBins
* Evasión de defensas
* 🛡️Detección y evasión de defensas
* 🛡️Load Balancing Detector
* 🛡️Evasión de WAFs
* 🛡️Evasión de Antivirus
* 🛡️Herramientas de Evasión
* Active Directory
* ☁️Active Directory
* ☁️Enumeración en AD
* ☁️AD: Enumeración inicial del dominio
* ☁️AD: Enumeración de controles de seguridad
* ☁️AD: Enumeración con credenciales: desde Linux
* 👁️PowerView
* ☁️AD: Enumeración con credenciales: desde Windows
* ☁️AD: Enumeración nativa en Windows
* ☄️Sniffing desde el Foothold
* ☄️LLMNR/NBT-NS Poisoning - Desde Linux
* ☄️LLMNR/NBT-NS Poisoning - Desde Windows
* 🔫Password Spraying
* 🔫AD: Políticas de contraseñas
* 🔫AD: Crear lista de usuarios
* 🔫Password Spraying Interno - Desde Linux
* 🔫Password Spraying Interno - Desde Windows
* 🐺Kerberos
* ⚔️Hacking en Kerberos
* ⚔️Kerberoasting desde Linux
* ⚔️Kerberoasting desde Windows
* 🗝️Acceso a Credenciales
* 🗝️Volcado de LSASS y SAM
* 🗝️Credenciales cacheadas
* 🗝️Pass the Hash
* 🪙Token Impersonation
* 🎟️ASK-TGT
* 🎫Golden y Silver Tickets
* 🐺Kerberos "Double Hop"
* 🦸♂️ACLs - Access Control Lists
* 🦸♂️ACLs Vulnerables
* 🦸♂️Enumeración de ACLs
* 🦸♂️Tácticas de abuso de ACLs
* 🔄DCSync
* ⬆️Acceso Privilegiado
* ❤️🩹Vulnerabilidades en AD
* ⚙️Malas configuraciones en AD
* 🤝Relaciones de confianza
* 🤝Ataque de confianza de dominio - Desde Windows
* 🤝Ataque de confianza de dominio - Desde Linux
* 🤝Abuso de confianza entre bosques - Desde Windows
* 🤝Abuso de confianza entre bosques - Desde Linux
* ☁️Vulnerable AD
* ⬇️SAM
* 🔐LDAP
* 🔐NTDS
* 🔐NTLM/SMB Relay
* 🩸BloodHound
* 🛡️Hardening en AD
* 💻Técnicas adicionales de auditoría en AD
* 💻AD - Skills Assestment I
* 💻AD - Skills Assestment II
* Hacking en entornos reales
* ☁️AWS - Amazon Web Services
* ⚔️Hacking en AWS
* Anonimato y privacidad
* 👹Anonimato y Privacidad
* 🔒VPN
* 🔒Proxy
* 🔒Red TOR
* 🔒Zero Knowledge Services
* Machine Learning en Hacking
* 🧠Machine Learning
* 🧠Batea
* 💀Pesidious
* Writeups
* 🟢Hack the Box
* 🔴Freelancer (WIP)
* 🟠Blurry
* 🟠Zipping
* 🟠Hospital
* 🟢GreenHorn
* 🟢Sea (WIP)
* 🟢PermX
* 🟢Boardlight
* 🟢Bizness
* 🟢Broker
* 🟢Devvortex
* 🟢CozyHosting
* 🟢Codify
* 🟢Analytics
* ⚫Report Model
* 🌐Over The Wire
* 🌐Bandit
* 🌐Natas
* 🐋Dockerlabs
* 🟢Move
* 🟠Inclusion
* ⚫Big Pivoting (WIP)
Con tecnología de GitBook
En esta página
* Paso uno: Documentar y auditar
* Personas, procesos y tecnología
* Personas
* Procesos
* Tecnología
* Protecciones por sección
* Para finalizar
¿Te fue útil?
🛡️HARDENING EN AD
Dediquemos un tiempo a analizar algunas medidas de refuerzo que se pueden
implementar para evitar que las tácticas de prueba comunes como las que
utilizamos en este módulo tengan éxito o proporcionen información útil. Nuestro
objetivo como evaluadores de penetración es ayudar a proporcionar una mejor
imagen operativa de la red de nuestros clientes a sus defensores y ayudar a
mejorar su postura de seguridad.
Por lo tanto, debemos comprender algunas de las tácticas de defensa comunes que
se pueden implementar y cómo afectarían a las redes que estamos evaluando. Estos
pasos básicos de refuerzo harán mucho más por una organización
(independientemente de su tamaño) que comprar la próxima gran herramienta EDR o
SIEM. Esas medidas y equipos defensivos adicionales solo ayudan si tiene una
postura de seguridad básica con funciones como el registro habilitado y la
documentación y el seguimiento adecuados de los hosts dentro de la red.
--------------------------------------------------------------------------------
PASO UNO: DOCUMENTAR Y AUDITAR
Un reforzamiento adecuado del AD puede contener a los atacantes y evitar el
movimiento lateral, la escalada de privilegios y el acceso a datos y recursos
confidenciales. Uno de los pasos esenciales en el reforzamiento del AD es
comprender todo lo que está presente en su entorno de AD. Se debe realizar una
auditoría de todo lo que se indica a continuación anualmente, o cada pocos
meses, para garantizar que sus registros estén actualizados. Nos preocupamos
por:
COSAS QUE SE DEBEN DOCUMENTAR Y SEGUIR
* Convenciones de nomenclatura de unidades organizativas, computadoras,
usuarios y grupos
* Configuraciones de DNS, red y DHCP
* Una comprensión íntima de todos los GPO y los objetos a los que se aplican
* Asignación de roles FSMO
* Inventario de aplicaciones completo y actual
* Una lista de todos los hosts empresariales y su ubicación
* Cualquier relación de confianza que tengamos con otros dominios o entidades
externas.
* Usuarios que tienen permisos elevados
--------------------------------------------------------------------------------
PERSONAS, PROCESOS Y TECNOLOGÍA
El fortalecimiento de AD se puede dividir en las categorías Personas , Procesos
y Tecnología . Estas medidas de fortalecimiento abarcarán el hardware, el
software y los aspectos humanos de cualquier red.
PERSONAS
Incluso en los entornos más complejos, los usuarios siguen siendo el eslabón más
débil. La aplicación de las mejores prácticas de seguridad a los usuarios y
administradores estándar evitará "victorias fáciles" para los pentesters y los
atacantes maliciosos. También debemos esforzarnos por mantener a nuestros
usuarios informados y conscientes de las amenazas a las que se enfrentan. Las
medidas que se indican a continuación son una excelente manera de comenzar a
proteger el elemento humano de un entorno de AD.
* La organización debe tener una política de contraseñas sólida, con un filtro
de contraseñas que no permita el uso de palabras comunes (es decir,
bienvenida, contraseña, nombres de meses/días/estaciones y el nombre de la
empresa). Si es posible, se debe utilizar un administrador de contraseñas
empresarial para ayudar a los usuarios a elegir y usar contraseñas complejas.
* Rote las contraseñas periódicamente para todas las cuentas de servicio.
* No permitir el acceso del administrador local a las estaciones de trabajo de
los usuarios a menos que exista una necesidad comercial específica.
* Deshabilite la cuenta predeterminada RID-500 local admin y cree una nueva
cuenta de administrador para la administración sujeta a la rotación de
contraseñas de LAPS.
* Implemente niveles de administración divididos para los usuarios
administrativos. Con demasiada frecuencia, durante una evaluación, obtendrá
acceso a las credenciales del administrador de dominio en una computadora que
un administrador usa para todas las actividades laborales.
* Limpiar los grupos privilegiados. ¿La organización necesita más de 50
administradores de dominio/empresa? Restrinja la membresía en grupos con
privilegios elevados únicamente a aquellos usuarios que requieren este acceso
para realizar sus tareas diarias de administrador del sistema.
* Cuando sea apropiado, coloque cuentas en el grupo Protected Users.
* Deshabilitar la delegación de Kerberos para cuentas administrativas (es
posible que el grupo Usuarios protegidos no lo haga)
GRUPO DE USUARIOS PROTEGIDOS
El grupo Usuarios protegidos apareció por primera vez con Windows Server 2012
R2. Este grupo se puede utilizar para restringir lo que los miembros de este
grupo privilegiado pueden hacer en un dominio. Agregar usuarios a Usuarios
protegidos evita que se utilicen de forma indebida las credenciales de usuario
si se dejan en la memoria de un host.
VISUALIZACIÓN DEL GRUPO DE USUARIOS PROTEGIDOS CON GET-ADGROUP
Copiar
PS C:\User> Get-ADGroup -Identity "Protected Users" -Properties Name,Description,Members
Description : Members of this group are afforded additional protections against authentication security threats.
See http://go.microsoft.com/fwlink/?LinkId=298939 for more information.
DistinguishedName : CN=Protected Users,CN=Users,DC=INLANEFREIGHT,DC=LOCAL
GroupCategory : Security
GroupScope : Global
Members : {CN=sqlprod,OU=Service Accounts,OU=IT,OU=Employees,DC=INLANEFREIGHT,DC=LOCAL, CN=sqldev,OU=Service
Accounts,OU=IT,OU=Employees,DC=INLANEFREIGHT,DC=LOCAL}
Name : Protected Users
ObjectClass : group
ObjectGUID : e4e19353-d08f-4790-95bc-c544a38cd534
SamAccountName : Protected Users
SID : S-1-5-21-2974783224-3764228556-2640795941-525
El grupo proporciona las siguientes protecciones de dispositivos y controladores
de dominio:
* Los miembros del grupo no pueden delegarse con delegación restringida o sin
restricciones.
* CredSSP no almacenará en caché las credenciales de texto sin formato en la
memoria incluso si la opción Permitir delegar credenciales predeterminadas
está configurada dentro de la Política de grupo.
* Windows Digest no almacenará en caché la contraseña de texto sin formato del
usuario, incluso si Windows Digest está habilitado.
* Los miembros no pueden autenticarse utilizando la autenticación NTLM ni
utilizar claves DES o RC4.
* Después de adquirir un TGT, las claves a largo plazo o las credenciales de
texto sin formato del usuario no se almacenan en caché.
* Los miembros no pueden renovar un TGT por un período más largo que el TTL
original de 4 horas.
Nota: El grupo Usuarios protegidos puede causar problemas imprevistos con la
autenticación, lo que puede provocar fácilmente el bloqueo de cuentas. Una
organización nunca debe colocar a todos los usuarios privilegiados en este grupo
sin realizar pruebas por etapas.
Además de garantizar que sus usuarios no puedan causarse daño a sí mismos,
debemos considerar nuestras políticas y procedimientos para el acceso y control
del dominio.
PROCESOS
Es necesario mantener y aplicar políticas y procedimientos que puedan afectar
significativamente la postura de seguridad general de una organización. Sin
políticas definidas, es imposible exigir responsabilidades a los empleados de
una organización y es difícil responder a un incidente sin procedimientos
definidos y practicados, como un plan de recuperación ante desastres. Los
siguientes elementos pueden ayudar a definir procesos, políticas y
procedimientos.
* Políticas y procedimientos adecuados para la gestión de activos de AD.
* La auditoría del host de AD, el uso de etiquetas de activos y los
inventarios periódicos de activos pueden ayudar a garantizar que no se
pierdan los hosts.
* Políticas de control de acceso (aprovisionamiento/desaprovisionamiento de
cuentas de usuario), mecanismos de autenticación multifactor.
* Procesos para aprovisionar y desmantelar hosts (es decir, pautas de
fortalecimiento de la seguridad de referencia, imágenes de referencia)
* Políticas de limpieza de AD
* ¿Se eliminan o simplemente se desactivan las cuentas de ex empleados?
* ¿Cuál es el proceso para eliminar registros obsoletos de AD?
* Procesos para desmantelar sistemas operativos/servicios heredados (es
decir, desinstalación adecuada de Exchange al migrar a 0365).
* Programación de auditorías de usuarios, grupos y hosts.
TECNOLOGÍA
Revise AD periódicamente para detectar errores de configuración heredados y
amenazas nuevas y emergentes. A medida que se realicen cambios en AD, asegúrese
de que no se introduzcan errores de configuración comunes. Preste atención a las
vulnerabilidades introducidas por AD y las herramientas o aplicaciones
utilizadas en el entorno.
* Ejecute periódicamente herramientas como BloodHound, PingCastle y Grouper
para identificar configuraciones incorrectas de AD.
* Asegúrese de que los administradores no almacenen contraseñas en el campo de
descripción de la cuenta de AD.
* Revise SYSVOL en busca de scripts que contengan contraseñas y otros datos
confidenciales.
* Evite el uso de cuentas de servicio "normales" y utilice cuentas de servicio
administradas (MSA) y administradas por grupos (gMSA) siempre que sea posible
para mitigar el riesgo de Kerberoating.
* Deshabilite la delegación sin restricciones siempre que sea posible.
* Evite el acceso directo a los controladores de dominio mediante el uso de
hosts de salto reforzados.
* Considere configurar el atributo ms-DS-MachineAccountQuota en 0, lo que
impide que los usuarios agreguen cuentas de máquina y puede prevenir varios
ataques como el ataque noPac y la delegación restringida basada en recursos
(RBCD).
* Deshabilite el servicio de cola de impresión siempre que sea posible para
evitar varios ataques.
* Deshabilite la autenticación NTLM para los controladores de dominio si es
posible
* Utilice la Protección extendida para la autenticación junto con la
habilitación de Requerir SSL solo para permitir conexiones HTTPS para los
servicios de Inscripción web de la autoridad de certificación y Servicio web
de inscripción de certificados
* Habilitar la firma SMB y la firma LDAP
* Tome medidas para evitar la enumeración con herramientas como BloodHound
* Lo ideal es realizar pruebas de penetración/evaluaciones de seguridad de AD
trimestrales, pero si existen restricciones presupuestarias, estas deberían
realizarse al menos una vez al año.
* Pruebe las copias de seguridad para verificar su validez y revise/practique
los planes de recuperación ante desastres.
* Habilite la restricción de acceso anónimo y evite la enumeración de sesiones
nulas configurando la clave de registro RestrictNullSessAccess en 1 para
restringir el acceso de sesión nula a usuarios no autenticados.
--------------------------------------------------------------------------------
PROTECCIONES POR SECCIÓN
Para analizar esto de forma diferente, hemos desglosado las acciones
significativas por sección y los controles correlacionados en función de la TTP
y una etiqueta MITRE. Cada etiqueta corresponde a una sección de la matriz
Enterprise ATT&CK que se encuentra aquí. Cualquier etiqueta marcada como TA
corresponde a una táctica general, mientras que una etiqueta marcada como T###es
una técnica que se encuentra en la matriz en la sección de tácticas.
TTP
Etiqueta MITRE
Descripción
External Reconnaissance
T1589
Esta parte de un ataque es extremadamente difícil de detectar y de defender. Un
atacante no tiene que interactuar directamente con el entorno de su empresa, por
lo que es imposible saber cuándo está sucediendo. Lo que se puede hacer es
supervisar y controlar los datos que se divulgan públicamente al mundo. Las
ofertas de empleo, los documentos (y los metadatos que se dejan adjuntos) y
otras fuentes de información abiertas como los registros BGP y DNS revelan algo
sobre su empresa. Si se tiene cuidado con los documentos scrub antes de
publicarlos, se puede garantizar que un atacante no pueda obtener el contexto de
los nombres de los usuarios a partir de ellos, por ejemplo. Lo mismo se puede
decir de no proporcionar información detallada sobre las herramientas y los
equipos utilizados en sus redes a través de las ofertas de empleo.
Internal Reconnaissance
T1595
Para el reconocimiento de nuestras redes internas, tenemos más opciones. Esto se
considera a menudo una fase activa y, como tal, generará tráfico de red que
podemos monitorear y colocar defensas en función de lo que veamos. La detección
y monitorización del tráfico de red de cualquier ráfaga sospechosa de paquetes
de un gran volumen de una o varias fuentes puede ser indicativa de un escaneo.
Un Firewall o Network Intrusion Detection System( NIDS) configurado
correctamente detectará estas tendencias rápidamente y alertará sobre el
tráfico. Dependiendo de la herramienta o el dispositivo, incluso puede ser capaz
de agregar una regla que bloquee el tráfico de dichos hosts de manera proactiva.
El uso de la monitorización de red junto con un SIEM puede ser crucial para
detectar el reconocimiento. Ajustar correctamente la configuración del Firewall
de Windows o el EDR de su elección para que no responda al tráfico ICMP, entre
otros tipos de tráfico, puede ayudar a negar a un atacante cualquier información
que pueda obtener de los resultados.
Poisoning
T1557
El uso de opciones de seguridad como SMB message signing y tráfico encriptado
con un mecanismo de cifrado fuerte contribuirá en gran medida a detener el
envenenamiento y los ataques de intermediarios. La firma SMB utiliza códigos de
autenticación en hash y verifica la identidad del remitente y el destinatario
del paquete. Estas acciones desbaratarán los ataques de retransmisión, ya que el
atacante solo está falsificando el tráfico.
Password Spraying
T1110/003
Esta acción es quizás la más fácil de defender y detectar. Un simple registro y
monitoreo puede alertarlo sobre ataques de rociado de contraseñas en su red.
Observar sus registros para detectar múltiples intentos de inicio de sesión
mediante la observación Event IDs 4624 y 4648para detectar cadenas de intentos
no válidos puede alertarlo sobre rociado de contraseñas o intentos de fuerza
bruta para acceder al host. Tener políticas de contraseñas sólidas, una política
de bloqueo de cuentas establecida y utilizar autenticación de dos factores o
multifactor pueden ayudar a prevenir el éxito de un ataque de rociado de
contraseñas. Para obtener una mirada más profunda a las configuraciones de
políticas recomendadas, consulte este artículo y la documentación del NIST .
Credentialed Enumeration
TA0006
No existe una defensa real que pueda implementarse para detener este método de
ataque. Una vez que un atacante tiene credenciales válidas, puede realizar
efectivamente cualquier acción que el usuario esté autorizado a hacer. Sin
embargo, un defensor atento puede detectar y detener esto. Monitorear la
actividad inusual, como emitir comandos desde la CLI cuando un usuario no
debería tener necesidad de utilizarla, múltiples solicitudes RDP enviadas de un
host a otro dentro de la red o el movimiento de archivos desde varios hosts
pueden ayudar a alertar a un defensor. Si un atacante logra adquirir privilegios
administrativos, esto puede volverse mucho más difícil, pero existen
herramientas de heurística de red que se pueden implementar para analizar la red
constantemente en busca de actividad anómala. La segmentación de la red puede
ayudar mucho en este caso.
LOTL
N / A
Puede resultar difícil detectar a un atacante mientras utiliza los recursos
integrados en los sistemas operativos. Aquí es donde resulta útil tener un
baseline of network traffic y user behavior. Si sus defensores comprenden cómo
es la actividad de red diaria, tendrá la oportunidad de detectar lo anormal.
Estar atento a los shells de comandos y utilizar un Applocker policy configurado
correctamente puede ayudar a prevenir el uso de aplicaciones y herramientas a
las que los usuarios no deberían tener acceso o no deberían necesitar.
Kerberoasting
T1558/003
El uso de Kerberoasting como técnica de ataque está ampliamente documentado y
existen muchas formas de detectarlo y defenderse de él. La principal forma de
protegerse contra Kerberoasting es utilizar esquemas de cifrado más fuertes que
RC4 en mecanismos de autenticación Kerberos . La aplicación de políticas de
contraseñas seguras puede ayudar a evitar que los ataques de Kerberoasting
tengan éxito. Esta Utilizing Group Managed service accountses probablemente la
mejor defensa, ya que hace que Kerberoasting ya no sea posible. Periódicamente,
auditar los permisos de las cuentas de sus usuarios para la membresía excesiva
de grupos pueden ser una forma eficaz de detectar problemas.
MITRE ATT&CK
texto
Quería tomarme un segundo para mostrarles a todos cómo se ve al explorar el
marco ATT&CK. Usaremos el ejemplo anterior de Kerberoasting para verlo a través
de la lente del marco. Kerberoasting es una parte de un marco más grande Tactic
tag TA0006 Credential Access(cuadrado verde en la imagen de arriba). Las
tácticas abarcan el objetivo general del actor y contendrán varias técnicas que
se asignan a ese objetivo. Dentro de este alcance, verá todo tipo de técnicas de
robo de credenciales. Podemos desplazarnos hacia abajo y buscar Steal or Forge
Kerberos Tickets, que es Technique Tag T1558(cuadrado azul en la imagen de
arriba). Esta técnica contiene cuatro subtécnicas (indicadas por el .00#al lado
del nombre de la técnica) Golden Ticket, Silver Ticket, Kerberoasting y AS-REP
Roasting.
Dado que nos interesa Kerberoasting, seleccionaríamos la subtécnica
T1558.003(cuadro naranja en la imagen de arriba), y nos llevará a una nueva
página. Aquí, podemos ver una explicación general de la técnica, la información
referencial a la clasificación de la plataforma ATT&CK en la parte superior
derecha, ejemplos de su uso en el mundo real, formas de mitigar y detectar la
táctica y, finalmente, referencias para más información en la parte inferior de
la página.
Entonces, nuestra técnica se clasificaría en TA0006/T1558.003. Así es como se
leería el árbol de tácticas/técnicas. Hay muchas formas diferentes de navegar
por el marco. Solo queríamos brindar algunas aclaraciones sobre lo que estábamos
buscando y cómo definíamos las tácticas frente a las técnicas cuando hablamos de
MITRE ATT&CK en este módulo. Este marco es excelente para explorar si tienes
curiosidad sobre una Táctica o Técnica y quieres más información al respecto.
--------------------------------------------------------------------------------
PARA FINALIZAR
Estas no son una lista exhaustiva de medidas defensivas, pero son un buen
comienzo. Como atacantes, si entendemos las posibles medidas defensivas a las
que nos podemos enfrentar durante nuestras evaluaciones, podemos planificar
medios alternativos de explotación y movimiento. No ganaremos todas las
batallas; algunos defensores pueden tener sus entornos bien controlados y ver
cada movimiento que usted hace, pero otros pueden haber pasado por alto alguna
de estas recomendaciones. Es importante explorarlas todas y ayudar a
proporcionar al equipo defensivo los mejores resultados posibles. Además,
comprender cómo funcionan los ataques y las defensas nos permitirá mejorar a los
profesionales de la ciberseguridad en general.
AnteriorBloodHoundSiguienteTécnicas adicionales de auditoría en AD
Última actualización hace 3 meses
Este sitio utiliza cookies para ofrecer sus servicios y para analizar el
tráfico. Al navegar este sitio, aceptas la política de privacidad.
AceptarRechazar