Jul 30 2024
0

Seguridad operativa ofensiva (OpSec)

La seguridad operativa ofensiva (OpSec) se refiere a las prácticas y técnicas utilizadas por los atacantes para evitar la detección y mantener el acceso a los sistemas comprometidos. En el contexto de ataques a Active Directory, la OpSec es crucial para el éxito de las operaciones a largo plazo.

Técnicas de OpSec en ataques a Active Directory

  1. Minimización de huella digital

Los atacantes deben minimizar su huella digital en la red para evitar la detección. Esto incluye:

  • Limitar el número de conexiones y consultas a los controladores de dominio.
  • Utilizar cuentas y rutas de acceso legítimas cuando sea posible.
  • Evitar la creación innecesaria de archivos o modificaciones en el sistema.

Ejemplo de explotación:
En lugar de enumerar todos los usuarios del dominio de una vez, el atacante puede realizar consultas graduales y espaciadas en el tiempo:

# En lugar de:
Get-ADUser -Filter *

# Usar:
$users = Get-ADUser -Filter * -ResultSetSize 10
Start-Sleep -Seconds 300
$moreUsers = Get-ADUser -Filter * -ResultSetSize 10 -SearchBase "OU=Sales,DC=contoso,DC=com"
  1. Imitación de patrones de tráfico legítimos

Los atacantes intentan imitar patrones de tráfico y comportamiento de usuarios y sistemas legítimos.

Ejemplo de explotación:
Al realizar movimientos laterales, el atacante puede ajustar sus actividades a los horarios laborales normales:

$workHours = 9..17
if ((Get-Date).Hour -in $workHours) {
    # Realizar actividades de movimiento lateral
    Invoke-MimikatzCommand -ComputerName "TargetPC"
}
  1. Uso de protocolos y herramientas nativas

Los atacantes prefieren utilizar herramientas y protocolos nativos de Windows para evitar levantar sospechas.

Ejemplo de explotación:
En lugar de usar herramientas como PsExec, el atacante puede utilizar WMI para la ejecución remota de comandos:

Invoke-WmiMethod -Class Win32_Process -Name Create -ArgumentList "cmd.exe /c whoami > C:\temp\result.txt" -ComputerName "TargetPC"
  1. Evasión de sistemas de detección

Los atacantes implementan técnicas para evadir sistemas de detección como antivirus, EDR y SIEM.

Ejemplo de explotación:
Uso de ofuscación de PowerShell para evitar la detección basada en firmas:


$s = New-Object IO.MemoryStream(,[Convert]::FromBase64String("H4sIAAAAAAAEAO1XbW/iOBD+jsR/sHJaKVHIi0lCaE9CiNK9ArpAVNjbU3WKTGKCr06cOg7Q/fV3nIRAeGl7e3vSnaIiQeLxzDwznhk7nX9/+mDe7R0zP/GJOJvKrVZL/Gw1W+bHdsuiVNhOTEMSe8xvnZ1ZRMzH5N7zQ2FHDPCt1nUcxA/n52VGYKIwQVbG4yCMOYUJJMzjQFnIY5Jy7kcQ0zhIYhFwIFGYcI+7jDgxcFcmHLw4FsKPqR9yCCIfEk9AHHmOgJQnMZBzGvk0gIQlPOFhALEXRUDiAEIGAZBz4UZRwn0OUQJxEkLEhRdEPgMRe4JRiSLHSZmAiLsOp4JHAZcjXhRHHLgnmOcJj5mfCPDcyBFwHzMvjEQCjMZBKoQXOXECNIYg9lLmQhSLkEMQ+zQVEEZxSiMBfgxRKiRXHCYkjSGJRSK4iOIYYi8BLwqYCOKEOSKFwHNjASn3BItFGDMOkSsE+EmQpEAZZSKIwRMxC5MkYi5QP/FDSJKQ+ymkAhKWQBQzEaeQcuFGAuKEeWlMmXCjwPcj8OIwBo8mwBMOieemkPgC/FiQOEk5+IIRiVPwYkYhTUUSMy7A9TlLOXgp+JHLEy+IwUsFxGHqRXHqRzGHlDEqEi9OKEsE0JQJRhMIGYMw9WPGOAROCpwLkrKEMRcC5kLAvAhIYwFRKoAyP4WEOxCxOAEvjSEVzE9cIE7CIUhTkAhOYy9OOEscoFHIXAhYKiCJRRILLxZeyiHhbgo8ZSKMOSQxRCKhHvMhTCnzEh+iJAZKIQw4UJEAZSKNmQMx4zGkjDI/5WEKjMZAGXNiJmIRRQxIGAGlCRDmRixMOEQhRCKMEwpRQoExiGMOjDEXQh4yoMKPWAKRx1IvEQJcN4aQMfBYCqHvRzGHJPVTHkLCRMxZAqFgfsQhEYJQ5jMRRTwFN+UxY4nLOEQC/JhBEjOXC0jBZSxJIQwpUJFAGDMRRQmEHmUiTCFMOCQx8xMONBYxpQmEEYeEOeAxoNSlAhKWQkQFhCmHMKWQxEAZZSKOIRQpBEkCQcQgYRzCVEDEXAhiDlHCIUwEsIRBEkMkqEh5CqHPIWQMKOOQxEBTAWEKlAkIEwgZA8oSoIxDkkAYMUgEMJZAxBikAkLGIEwgZAwC5kLIGIQJhIxBIoAxBmHCIUyAMgYBcyFkDMKEQ5gAZQzChEOYAGUMKGMQJhzCBChjEDIGIWMQMBdCxiBMOIQJUMYgZAxCxiBgLoSMQZhwCBOgjEHIGISMQcBcCBmDMOEQJkAZg5AxCBkDyhiEjEHAXAgZgzDhECZAGYOQMQgZg4C5EDIGYcIhTIAyBiFjEDIGlDEIGYOAuRAyBmHCIUyAMgYhYxAyBgFzIWQMwoRDmABlDELGIGQMKGMQMgYBcyFkDMKEQ5gAZQxCxiBkDALmQsgYhAmHMAHKGISMQcgYUMYgZAwC5kLIGIQJhzAByhiEjEHIGFDGIGQMAuZCyBiECYcwAcoYhIxByBhQxiBkDALmQsgYhAmHMAHKGISMQcgYUMYgZAwC5kLIGIQJhzAByhiEjEHIGATMhZAxCBMOYQKUMQgZg5AxoIxByBgEzIWQMQgTDmEClDEIGYOQMaCMQcgYBMyFkDEIEw5hApQxCBmDkDGgjEHIGATMhZAxCBMOYQKUMQgZg5AxCJgLIWMQJhzCBChjEDIGIWNAGYOQMQiYCyFjECYcwgQoYxAyBiFjQBmDkDEImAshYxAmHMIEKGMQMgYhY0AZg5AxCJgLIWMQJhzCBChjEDIGIWMQMBdCxiBMOIQJUMYgZAxCxoAyBiFjEDAXQsYgTDiECVDGIGQMQsaAMgYhYxAwF0LGIEw4hAlQxiBkDELGgDIGIWMQMBdCxiBMOIQJUMYgZAxCxiBgLoSMQZhwCBOgjEHIGISMAWUMQsYgYC6EjEGYcAgToIxByBiEjAFlDELGIGAuhIxBmHAIE6CMQcgYhIwBZQxCxiBgLoSMQZhwCBOgjEHIGISMQcBcCBmDMOEQJkAZg5AxCBkDyhiEjEHAXAgZgzDhECZAGYOQMQgZA8oYhIxBwFwIGYMw4RAmQBmDkDEIGQPKGISMQcBcCBmDMOEQJkAZg5AxCBmDgLkQMgZhwiFMgDIGIWMQMgaUMQgZg4C5EDIGYcIhTIAyBiFjEDIGlDEIGYOAuRAyBmHCIUyAMgYhYxAyBpQxCBmDgLkQMgZhwiFMgDIGIWMQMgYBcyFkDMKEQ5gAZQxCxiBkDChjEDIGAXMhZAzChEOYAGUMQsYgZAwoYxAyBgFzIWQMwoRDmABlDELGIGQMKGMQMgYBcyFkDMKEQ5gAZQxCxiBkDChjEDIGAXMhZAzChEOYAGUMQsYgZAwoYxAyBgFzIWQMwoRDmABlDELGIGQMKGMQMgYBcyFkDMKEQ5gAZQxCxiBkDChjEDIGAXMhZAzChEOYAGUMQsYgZAwoYxAyBgFzIWQMwoRDmABlDELGIGQMAuZCyBiECYcwAcoYhIxByBhQxiBkDALmQsgYhAmHMAHKGISMQcgYUMYgZAwC5kLIGIQJhzAByhiEjEHIGFDGIGQMAuZCyBiECYcwAcoYhIxByBgEzIWQMQgTDmEClDEIGYOQMaCMQcgYBMyFkDEIEw5hApQxCBmDkDGgjEHIGATMhZAxCBMOYQKUMQgZg5AxoIxByBgEzIWQMQgTDmEClDEIGYOQMQiYCyFjECYcwgQoYxAyBiFjQBmDkDEImAshYxAmHMIEKGMQMgYhY0AZg5AxCJgLIWMQJhzCBChjEDIGIWNAGYOQMQiYCyFjECYcwgQoYxAyBiFjEDAXQsYgTDiECVDGIGQMQsaAMgYhYxAwF0LGIEw4hAlQxiBkDELGgDIGIWMQMBdCxiBMOIQJUMYgZAxCxoAyBiFjEDAXQsYgTDiECVDGIGQMQsYgYC6EjEGYcAgToIxByBiEjAFlDELGIGAuhIxBmHAIE6CMQcgYhIwBZQxCxiBgLoSMQZhwCBOgjEHIGISMAWUMQsYgYC6EjEGYcAgToIxByBiEjEHAXAgZgzDhECZAGYOQMQgZA8oYhIxBwFwIGYMw4RAmQBmDkDEIGQPKGISMQcBcCBmDMOEQJkAZg5AxCBkDyhiEjEHAXAgZgzDhECZAGYOQMQgZg4C5EDIGYcIhTIAyBiFjEDIGlDEIGYOAuRAyBmHCIUyAMgYhYxAyBpQxCBmDgLkQMgZhwiFMgDIGIWMQMgaUMQgZg4C5EDIGYcIhTIAyBiFjEDIGAXMhZAzChEOYAGUMQsYgZAwoYxAyBgFzIWQMwoRDmABlDELGIGQMKGMQMgYBcyFkDMKEQ5gAZQxCxiBkDChjEDIGAXMhZAzChEOYAGUMQsYgZAwC5kLIGIQJhzAByhiEjEHIGFDGIGQMAuZCyBiECY
Publicado enBlog
EtiquetasDirectorio Activo Evasión de sistemas de detección Minimización de huella digital OpSec Patrones de tráfico legítimos Protocolos nativos de Windows Seguridad operativa ofensiva

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *