Movimiento lateral en Active Directory
El movimiento lateral es una técnica utilizada por los atacantes para moverse dentro de una red comprometida, buscando acceder a sistemas y datos más valiosos. En el contexto de Active Directory (AD), esto implica el uso de diversas técnicas y herramientas para acceder a otros sistemas en el dominio. A continuación, se detallan las técnicas más comunes de movimiento lateral, junto con ejemplos prácticos de explotación y medidas de mitigación.
1. Uso de protocolos administrativos en el dominio
PSRemoting
PowerShell Remoting (PSRemoting) permite a los administradores ejecutar comandos de PowerShell en equipos remotos. Los atacantes pueden abusar de esta funcionalidad para ejecutar comandos en otros sistemas del dominio.
Ejemplo de explotación:
-
Habilitación de PSRemoting en el equipo objetivo:
Enable-PSRemoting -Force -
Conexión a un equipo remoto utilizando credenciales comprometidas:
Enter-PSSession -ComputerName target_machine -Credential (Get-Credential)
RDP (Remote Desktop Protocol)
RDP permite a los usuarios conectarse a un equipo remoto y controlarlo como si estuvieran físicamente presentes. Los atacantes pueden utilizar RDP para acceder a sistemas remotos si tienen las credenciales necesarias.
Ejemplo de explotación:
-
Conexión a un equipo remoto utilizando RDP:
mstsc /v:target_machine -
Uso de xfreerdp en Linux para pasar el hash NTLM:
xfreerdp /u:usuario /d:dominio /pth:hash_ntlm /v:ip_del_equipo
WMI (Windows Management Instrumentation)
WMI permite a los administradores ejecutar comandos y scripts en equipos remotos. Los atacantes pueden utilizar WMI para ejecutar comandos de forma remota.
Ejemplo de explotación:
- Ejecución de un comando en un equipo remoto utilizando WMI:
Invoke-WmiMethod -Class Win32_Process -Name Create -ArgumentList "cmd.exe /c whoami" -ComputerName target_machine
2. Relay de hash
El relay de hash implica capturar un hash NTLM y reutilizarlo para autenticarse en otros sistemas. Esto se puede lograr mediante técnicas de Man-in-the-Middle (MitM) y herramientas como Responder.
Ejemplo de explotación:
-
Captura de hash NTLM utilizando Responder:
sudo responder -I eth0 -
Relay del hash capturado utilizando ntlmrelayx:
ntlmrelayx.py -tf targets.txt -smb2support
3. Pass-the-whatever
Pass-the-hash
Esta técnica implica el uso de un hash NTLM para autenticarse en otros sistemas sin necesidad de conocer la contraseña en texto claro.
Ejemplo de explotación:
- Uso de Mimikatz para realizar pass-the-hash:
mimikatz.exe "privilege::debug" "sekurlsa::pth /user:usuario /ntlm:hash_ntlm /domain:dominio /run:powershell.exe"
Pass-the-ticket
Esta técnica implica el uso de tickets Kerberos (TGT o TGS) para autenticarse en otros sistemas.
Ejemplo de explotación:
- Uso de Rubeus para inyectar un ticket Kerberos:
Rubeus.exe ptt /ticket:ticket.kirbi
4. Delegación de Kerberos
Delegación no restringida
Permite a una cuenta de servicio delegar credenciales de usuario a cualquier servicio en la red.
Ejemplo de explotación:
- Enumeración de cuentas con delegación no restringida:
Get-DomainUser -TrustedToAuth
Delegación restringida basada en recursos (RBCD)
Permite a los administradores de servicios especificar qué servicios pueden actuar en su nombre.
Ejemplo de explotación:
- Configuración de RBCD utilizando PowerView:
Set-DomainObject -Identity target_machine -Set @{msDS-AllowedToActOnBehalfOfOtherIdentity=@{Add="S-1-5-21-..."}}
Medidas de mitigación
Para protegerse contra estas técnicas de movimiento lateral, se pueden implementar las siguientes medidas:
- Habilitar y configurar adecuadamente la autenticación multifactor (MFA).
- Monitorear y auditar el uso de herramientas administrativas y protocolos de administración remota.
- Implementar políticas de restricción de aplicaciones (AppLocker o WDAC).
- Utilizar herramientas de detección de amenazas como Microsoft Defender for Identity.
- Aplicar el principio de mínimo privilegio y la segmentación de red para limitar el acceso a sistemas críticos.
En conclusión, el movimiento lateral en Active Directory es una fase crítica en la cadena de ataques. Comprender estas técnicas permite a los defensores implementar medidas de seguridad más efectivas y detectar intentos de compromiso en etapas tempranas.