La cadena de ataques en Active Directory (AD) es un proceso metódico utilizado por los atacantes para comprometer un entorno de AD. Este proceso incluye varias etapas que permiten a los atacantes moverse lateralmente dentro de la red, escalar privilegios y mantener el acceso persistente. A continuación, se detallan las etapas principales de la cadena de ataques en AD:
1. Enumeración y ataques de usuario
La primera fase de un ataque a AD implica la enumeración, que es la recopilación de información sobre el entorno de AD. Los atacantes utilizan diversas herramientas y técnicas para identificar usuarios, grupos, computadoras y políticas dentro del dominio. Ejemplos de herramientas comunes incluyen PowerView y BloodHound. Estas herramientas permiten a los atacantes mapear la estructura de AD y encontrar posibles objetivos para el ataque.
2. Acceso a credenciales
Una vez que se ha completado la enumeración, los atacantes buscan obtener credenciales de usuario. Esto puede lograrse mediante varias técnicas, como la captura de hashes, ataques DCSync, y el volcado de credenciales en texto claro mediante DPAPI. Los atacantes pueden utilizar herramientas como Mimikatz para extraer estas credenciales de la memoria del sistema.
3. Movimiento lateral
Con las credenciales obtenidas, los atacantes pueden moverse lateralmente dentro de la red. Esto implica el uso de protocolos administrativos como PSRemoting, RDP, WMI, SMB y DCOM para acceder a otras máquinas en el dominio. Técnicas como el relay de hash y los ataques "Pass-the-hash" o "Pass-the-ticket" son comunes en esta etapa.
4. Escalada de privilegios
El objetivo del movimiento lateral es eventualmente escalar privilegios para obtener acceso a cuentas con mayores permisos, como las de administrador de dominio. Esto puede lograrse explotando vulnerabilidades en servicios como AD CS (Active Directory Certificate Services), SQL Server, WSUS (Windows Server Update Services) y SCCM (System Center Configuration Manager).
5. Persistencia
Para mantener el acceso a la red comprometida, los atacantes establecen mecanismos de persistencia. Esto puede incluir la creación de cuentas de usuario con privilegios elevados, la modificación de políticas de grupo o la instalación de backdoors en sistemas críticos.
6. Medidas de detección y prevención de ataques
Durante y después de un ataque, el equipo azul debe implementar medidas de detección y prevención para identificar y mitigar las actividades maliciosas. Esto incluye el monitoreo de eventos de seguridad, la implementación de herramientas de detección, y la aplicación de modelos de asunción de brechas de seguridad.
7. Seguridad operativa ofensiva (OpSec)
La seguridad operativa ofensiva se refiere a las técnicas utilizadas por los atacantes para evitar la detección durante sus actividades. Esto incluye la evasión de herramientas de monitoreo y la minimización de huellas que puedan alertar a los defensores sobre la presencia de un atacante.
Ejemplo:
Un atacante puede comenzar su ataque utilizando PowerView para enumerar usuarios y grupos en el dominio:
Get-DomainUser -Domain sevenkingdoms.localLuego, puede utilizar Mimikatz para volcar credenciales en texto claro:
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords"Con las credenciales obtenidas, el atacante puede moverse lateralmente utilizando PSRemoting:
Enter-PSSession -ComputerName target_machine -Credential (Get-Credential)Finalmente, para escalar privilegios, el atacante puede explotar una vulnerabilidad en AD CS:
Invoke-ADCSAttack -CAName "CA_SERVER" -Template "VulnerableTemplate"Esta cadena de ataques ilustra cómo un atacante puede comprometer un entorno de AD de manera sistemática y metódica, utilizando diversas herramientas y técnicas para lograr sus objetivos.