Enlaces a todas las partes:Parte 1. Obtención del acceso inicial (acceso inicial)Parte 2. EjecuciónParte 3. Fijación (persistencia)Parte 4. Escalada de privilegiosParte 5. Evasión de defensaParte 6. Obtención de credenciales (acceso de credenciales)Parte 7. DescubrimientoParte 8. Movimiento lateralParte 9. Recolección de datos (Colección)Parte 10 ExfiltraciónParte 11. Comando y ControlLas tácticas de
Movimiento Lateral (
Movimiento Lateral - movimiento lateral, lateral, horizontal ) incluyen métodos para que el enemigo obtenga acceso y control sobre sistemas remotos conectados a la red atacada, así como, en algunos casos, inicie herramientas maliciosas en sistemas remotos conectados a la red atacada. El movimiento lateral de la red permite a un atacante obtener información de sistemas remotos sin el uso de herramientas adicionales, como las utilidades de acceso remoto (RAT).
El autor no es responsable de las posibles consecuencias de aplicar la información establecida en el artículo, y también se disculpa por posibles imprecisiones hechas en algunas formulaciones y términos. La información publicada es un recuento gratuito de los contenidos de MITER ATT & CK .Sistema: macOS
Derechos: usuario
Descripción: el lenguaje AppleScript proporciona la capacidad de trabajar con Apple Event: mensajes intercambiados entre aplicaciones como parte de la comunicación entre procesos (IPC). Con Apple Event, puede interactuar con casi cualquier aplicación que esté abierta localmente o remotamente, desencadenar eventos como abrir ventanas y presionar teclas. Las secuencias de comandos se ejecutan con el comando:
Osascript -e [] .
Los atacantes pueden usar AppleScript para abrir de forma encubierta conexiones SSH a hosts remotos, dando a los usuarios diálogos falsos. AppleScript también se puede utilizar en tipos de ataques más comunes, como las organizaciones de Shell inverso.
Recomendaciones de protección: verificación obligatoria de la ejecución de scripts AppleScript para la firma de un desarrollador de confianza.
Sistema: Windows, Linux, macOS
Descripción: las herramientas de implementación de aplicaciones utilizadas por los administradores de redes empresariales pueden ser utilizadas por usuarios malintencionados para instalar aplicaciones maliciosas. Los permisos requeridos para completar estos pasos dependen de la configuración del sistema: se pueden requerir ciertas credenciales de dominio para acceder al servidor de instalación de software, y los privilegios locales pueden ser suficientes, sin embargo, se puede requerir una cuenta de administrador para ingresar al sistema de instalación de la aplicación e iniciar el proceso de implementación sistema El acceso a un sistema centralizado de instalación de aplicaciones corporativas permite a un adversario ejecutar código de forma remota en todos los sistemas de la red atacada. Dicho acceso se puede utilizar para moverse por la red, recopilar información o causar un efecto específico, por ejemplo, limpiar discos duros en todos los hosts.
Recomendaciones de seguridad: solo permita que un número limitado de administradores autorizados accedan a los sistemas de implementación de aplicaciones. Proporcione un aislamiento confiable y restrinja el acceso a los sistemas de red críticos mediante firewalls, restrinja los privilegios de la cuenta, configure las políticas de seguridad de grupo y la autenticación multifactor. Asegúrese de que los datos de las cuentas que tienen acceso al sistema de implementación de software sean únicos y no se utilicen en toda la red. Instale regularmente parches y actualizaciones en los sistemas de instalación de aplicaciones para evitar que obtengan acceso remoto no autorizado a través de la explotación de vulnerabilidades. Si el sistema de instalación de la aplicación está configurado para distribuir solo archivos binarios firmados, asegúrese de que los certificados de firma de confianza no se coloquen en él, sino que se almacenen en un sistema al que no se pueda acceder o limitar y controlar de forma remota.
Sistema: Windows
Derechos: Administrador, Sistema
Descripción: DCOM es un protocolo que amplía la funcionalidad del Modelo de objetos componentes (COM), permitiendo que los componentes de software interactúen no solo dentro del sistema local, sino también a través de la red, utilizando la tecnología Remote Procedure Call (RPC), con componentes de aplicación de otros sistemas. COM es un componente de la API de Windows. A través de COM, un objeto de cliente puede llamar a un método de objeto de servidor, generalmente archivos DLL o archivos .exe. Los permisos para interactuar con un objeto COM de servidor local o remoto se definen mediante ACL en el registro. De forma predeterminada, solo los administradores pueden activar y ejecutar de forma remota objetos COM a través de DCOM.
Los enemigos pueden usar DCOM para moverse de lado a través de la red. A través de DCOM, un atacante que trabaje en el contexto de un usuario con los privilegios apropiados puede ejecutar remotamente código arbitrario a través de aplicaciones de Office y otros objetos de Windows que contienen métodos inseguros. DCOM también puede ejecutar macros en documentos existentes, así como llamar a Dynamic Data Exchange (DDE) directamente a través de un objeto COM creado en Microsoft Office, evitando la necesidad de crear un documento malicioso. DCOM también puede proporcionar a un adversario funciones que se pueden usar en otras etapas del ataque, como la escalada de privilegios o el acceso de fijación.
Recomendaciones de protección: Con el registro, configure los ajustes de seguridad individuales para las aplicaciones COM: código> HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ AppID.
Considere deshabilitar el soporte DCOM utilizando la utilidad
dcomcnfg.exe o en el registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\EnableDCOM=SZ:NHabilite Firewall de Windows, que de forma predeterminada evita que se creen instancias DCOM. Active la visualización segura y las notificaciones sobre el lanzamiento de objetos COM en documentos de MS Office.
Sistema: Windows, Linux, macOS
Derechos: usuario
Descripción: para ejecutar código arbitrario, los atacantes pueden utilizar exploits que utilizan errores en programas, servicios, software del sistema operativo o incluso en el núcleo del sistema operativo. El propósito de explotar las vulnerabilidades de los servicios remotos después del compromiso inicial es proporcionar acceso remoto a los sistemas para moverse por la red.
Anteriormente, el adversario necesita identificar sistemas con vulnerabilidades. Esto se puede hacer escaneando los servicios de red u otros métodos de
detección , como la búsqueda de software vulnerable común y parches faltantes, lo que indica la presencia de vulnerabilidades, o la búsqueda de herramientas de seguridad que se utilizan para detectar y bloquear la explotación remota de vulnerabilidades. Es muy probable que los servidores sean un objetivo valioso para usar cuando naveguen por la red, pero las estaciones de trabajo también están en riesgo si brindan al adversario alguna ventaja o acceso a recursos adicionales.
Las vulnerabilidades se conocen en servicios compartidos, como SMB, RDP, así como en aplicaciones que se pueden usar en redes internas, como MySQL y servicios de servidor web. Dependiendo de los permisos del servicio vulnerable, un adversario puede obtener además escalada de privilegios mediante un movimiento lateral.
Consejos de
seguridad: segmente las redes y sistemas para reducir el acceso a sistemas y servicios críticos. Minimice la disponibilidad de servicios al otorgar derechos solo a aquellos que los necesitan. Verifique su red interna regularmente en busca de servicios nuevos y potencialmente vulnerables. Minimice los permisos y el acceso a las cuentas de servicio para limitar la cobertura.
Actualice regularmente el software, implemente el proceso de gestión de la instalación de parches de aplicaciones en hosts y servidores internos. Desarrolle procedimientos de análisis de amenazas cibernéticas para determinar los tipos y niveles de amenazas durante los cuales se pueden utilizar exploits contra su organización, incluidos los exploits de vulnerabilidades de día cero. Use cajas de arena para dificultar que el enemigo realice operaciones utilizando vulnerabilidades desconocidas o no corregidas. Otros tipos de microsegmentación y virtualización de aplicaciones también pueden mitigar los efectos de ciertos tipos de exploits. El software de seguridad como Windows Defender Exploit Guard (WDEG) y Enhanced Mitigation Experience Toolkit (EMET), cuyo objetivo es encontrar el comportamiento utilizado durante la explotación de vulnerabilidades, se puede utilizar para proteger contra exploits.
Verificar la integridad del flujo de control es otra forma de identificar y bloquear la explotación de vulnerabilidades de software. Muchas de las características de seguridad enumeradas pueden no funcionar para todos los programas y servicios; la compatibilidad depende de la arquitectura y el archivo binario de la aplicación de destino.
Dependiendo de las herramientas disponibles, la detección por parte de la parte defensora de la explotación de vulnerabilidades puede ser difícil. Las vulnerabilidades de software pueden no siempre tener éxito o provocar un funcionamiento inestable o la finalización anormal del proceso atacado. Preste atención a los indicadores de compromiso, por ejemplo, comportamiento anormal de procesos, aparición de archivos sospechosos en el disco, tráfico de red inusual, signos de activación de herramientas de detección, inyecciones de procesos.
Sistema: Windows, macOS
Descripción: Un adversario puede usar la capacidad de crear nuevas secuencias de comandos de inicio de sesión o modificarlas, secuencias de comandos que se ejecutan cada vez que un usuario o grupo de usuarios en particular inicia sesión en el sistema. Si un atacante obtuvo acceso a un script de inicio de sesión en un controlador de dominio, puede modificarlo para ejecutar código en todos los sistemas del dominio para moverse lateralmente por la red. Dependiendo de los permisos de los scripts de inicio de sesión, se pueden requerir credenciales locales o administrativas.
En una Mac, los scripts de inicio de sesión (
gancho de inicio de
sesión / cierre de sesión ), a diferencia del elemento de inicio de sesión, que se ejecutan en el contexto del usuario, se pueden ejecutar como root.
Recomendaciones de seguridad: Restricción de privilegios de administrador para crear scripts de inicio de sesión. Identificación y bloqueo de software potencialmente peligroso que se puede utilizar para modificar escenarios de inicio de sesión. Windows AppLocker puede bloquear el inicio de programas desconocidos.
Sistema: Windows
Descripción: Pass the Hash (PtH) es un método para autenticar a un usuario sin acceso a su contraseña en forma clara. El método consiste en omitir los pasos de autenticación estándar que requieren una contraseña e ir directamente a esa parte de la autenticación que utiliza el hash de contraseña. El adversario captura los valores hash de las contraseñas reales mediante técnicas de acceso de credenciales, luego los valores hash se utilizan para la autenticación PtH, que se puede utilizar para realizar acciones en sistemas locales o remotos.
Para ejecutar el ataque Pass the Hash en Windows 7 y superior con la actualización
KB2871997 instalada, necesita credenciales de usuario de dominio válidas o hashes de administrador (RID 500).
Recomendaciones de protección: supervise los registros del sistema y del dominio para identificar la actividad inusual de los inicios de sesión de cuentas. Evitar el acceso a cuentas existentes. En los sistemas de Windows 7 y superiores, instale la revisión KB2871997 para restringir el acceso a las cuentas en los grupos de administradores locales predeterminados.
Para minimizar la posibilidad de implementar Pass the Hash, desactive el inicio remoto de UAC cuando un usuario inicie sesión a través de la red editando la clave correspondiente en el registro o las políticas de grupo:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPoliceGPO:Computer Configuration > [Policies] > Administrative Templates > SCM: Pass the Hash Mitigation: Apply UAC restriction to local accounts on network logonsLimite la coincidencia de cuentas en diferentes sistemas para evitar su compromiso y reducir la capacidad del enemigo para moverse entre sistemas. Asegúrese de que las credenciales incorporadas y creadas de los administradores locales tengan contraseñas complejas y únicas. No permita que un usuario de dominio sea miembro del grupo de administradores locales en varios sistemas. Para detectar ataques Pass the Hash, se utiliza una auditoría de todos los eventos de inicio de sesión y uso de credenciales con la comprobación de discrepancias (por ejemplo, se utilizó una cuenta simultáneamente en varios sistemas). Los inicios de sesión inusuales asociados con actividades sospechosas (por ejemplo, crear y ejecutar archivos binarios) también pueden indicar actividad maliciosa. Los eventos de autenticación del tipo NTLM LogonType 3 (entrada de red) que no están relacionados con cuentas de dominio y no anónimas (usuarios con SID S-1-5-7) también deben ser sospechosos.
Sistema: Windows
Descripción: Pass the Ticket (PtT) es un método de autenticación de tickets Kerberos sin acceso a una contraseña de cuenta. La autenticación Kerberos se puede usar como un primer paso para mover un adversario a un sistema remoto.
Durante PtT, los tickets válidos de Kerberos para las cuentas existentes son capturados por el adversario utilizando
técnicas de descarga de credenciales . Dependiendo del nivel de acceso, se pueden obtener tickets de servicio de usuario o tickets de concesión de tickets (TGT). Un ticket de servicio permite el acceso a un recurso específico, mientras que un TGT se puede utilizar para solicitar tickets de servicio de un servicio de tickets (TGS) para acceder a cualquier recurso al que tenga acceso un usuario.
Silver Ticket (TGS falso) se puede obtener para servicios que usan Kerberos como mecanismo de autenticación, y se utiliza para generar tickets para acceder a un recurso específico y al sistema en el que se encuentra el recurso (por ejemplo, SharePoint).
Golden Ticket (ticket Kerberos para acceso ilimitado a los recursos en el contexto de cualquier usuario, incluidos usuarios inexistentes) se puede obtener utilizando el hash NTLM de la cuenta de servicio de distribución de claves: KRBTGT, que hace posible generar TGT para cualquier cuenta en AD.
Recomendaciones de protección: supervise las credenciales inusuales en el sistema. Limite la coincidencia de credenciales en todos los sistemas, evitando así daños en caso de compromiso. Asegúrese de que las cuentas de administrador local tengan contraseñas complejas y únicas. No permita que el usuario sea el administrador local de varios sistemas. Limite los permisos de la cuenta de administrador de dominio para controladores de dominio y servidores restringidos. Delegue otras funciones de administrador a cuentas individuales.
Para contrarrestar el Gold Ticket generado previamente, restablezca la contraseña de la cuenta integrada KRBTGT dos veces, lo que invalidará todos los Golden Tickets creados con el hash de contraseña KRBTGT y otros boletos Kerberos recibidos de Golden Ticket.
Utilizando herramientas de listas blancas de aplicaciones como Applocker o
Políticas de restricción de software, intente identificar y bloquear software desconocido o malicioso que pueda usarse para recibir tickets de Kerberos y autenticación adicional.
Para detectar ataques PtT, recomendamos auditar todos los eventos de autenticación Kerberos y usar credenciales con análisis de discrepancias. Los eventos de autenticación remota inusuales que se correlacionan con otras actividades sospechosas (como escribir y ejecutar binarios) pueden servir como un indicador de actividad maliciosa.
El evento ID4769 se genera en un controlador de dominio cuando se utiliza Golden Ticket después de un doble restablecimiento de la contraseña KRBTGT. El código de estado 0x1F indica una comprobación de integridad fallida del campo encriptado e indica un intento de usar un Golden Ticket no válido.
Sistema: Windows
Derechos: usuarios de escritorio remoto, usuarios
Descripción: Escritorio remoto es una característica típica de los sistemas operativos que permite al usuario iniciar sesión en una sesión interactiva con una interfaz gráfica en una computadora remota. Microsoft llama a su implementación del protocolo RDP como
Remote Desktop Servoce (RDS) . Existen otras implementaciones y herramientas de terceros que proporcionan acceso gráfico a servicios remotos como RDS. Los enemigos pueden conectarse al sistema remoto a través de RDP / RDS para ampliar el acceso si el servicio correspondiente está activado y permite el acceso con credenciales conocidas al atacante. Anteriormente, el adversario probablemente usará
técnicas de acceso de credenciales para obtener credenciales que puedan usarse con RDP. Los opositores también pueden usar RDP en combinación con la técnica de abuso de accesibilidad de Windows para protegerse en el sistema.
Un atacante también podría intentar secuestrar sesiones RDP que involucren sesiones remotas de usuarios legítimos. Por lo general, cuando intenta robar una sesión, el usuario recibe una notificación y una solicitud de confirmación, sin embargo, al tener permisos de nivel de sistema utilizando la consola de Terminal Services, puede interceptar la sesión sin proporcionar credenciales y confirmar al usuario:
C:\Windows\system32\tscon.exe [ , ] .
Esto se puede hacer de forma remota o local con sesiones activas o canceladas. También puede conducir a la escalada de privilegios al secuestrar a un administrador de dominio o un usuario más privilegiado. Todo lo anterior se puede hacer utilizando los comandos integrados de Windows, o la funcionalidad correspondiente se puede agregar a las herramientas para la pentesting, por ejemplo
RedSnarf .
Recomendaciones de protección: deshabilite el servicio RDP si no es necesario, elimine cuentas y grupos innecesarios del grupo
Usuarios de escritorio remoto , habilite la regla de bloqueo de tráfico RDP entre zonas de seguridad en el firewall. Compruebe los miembros del grupo de
usuarios de Escritorio remoto con regularidad. Elimine el grupo de administradores de la lista de grupos que pueden iniciar sesión a través de RDP. Si se requiere acceso remoto, entonces restrinja los derechos del usuario remoto. Use
puertas de enlace de escritorio remoto y autenticación multifactor para inicio de sesión remoto. No deje RDP accesible desde Internet. Modifique el GPO definiendo tiempos de espera y el tiempo máximo que una sesión remota puede estar activa. Cambie el GPO para indicar el tiempo máximo que la sesión remota desconectada permanece activa en el servidor host.
Debido al hecho de que el uso de RDP puede ser un proceso completamente legítimo, los indicadores de actividad maliciosa pueden ser patrones de acceso y acciones que ocurren después de un inicio de sesión remoto, por ejemplo, los usuarios que inician sesión en sistemas a los que generalmente no acceden o inician sesión en varios sistemas durante tiempo relativamente corto Para evitar la interceptación de sesiones RDP, se recomienda supervisar el uso de tscon.exe y crear servicios que utilicen cmd.exe /kcualquiera cmd.exe /cde sus argumentos.Sistema: Windows, Linux, macOSDerechos: Descripción del usuario:Los archivos se pueden copiar de un sistema a otro para desplegar herramientas enemigas u otros archivos durante una operación. Los archivos se pueden copiar desde un sistema externo controlado por un atacante, a través del canal C&C o utilizando otras herramientas que utilizan protocolos alternativos, como FTP. Los archivos también se pueden copiar a Mac y Linux utilizando herramientas integradas como scp, rsync, sftp. Los enemigos también pueden copiar archivos lateralmente entre sistemas internos de víctimas para soportar el movimiento de la red y la ejecución remota de comandos. Esto se puede hacer usando protocolos para compartir archivos conectando recursos de red a través de SMB o usando conexiones autenticadas a Windows Admin Shares o RDP.Recomendaciones de protección:El uso de sistemas IDS / IPS que usan firmas para identificar tráfico malicioso o transferencias de datos inusuales a través de herramientas y protocolos conocidos como FTP, que pueden usarse para reducir la actividad a nivel de red. Las firmas se usan generalmente para detectar indicadores de protocolo únicos y se basan en una técnica de ofuscación específica utilizada por un atacante o herramienta específica, y lo más probable es que sean diferentes para diferentes familias y versiones de malware. Es probable que los atacantes modifiquen la firma de las herramientas C2 o creen protocolos de tal manera que eviten ser detectados por herramientas de seguridad conocidas.Como medio de detección, se recomienda monitorear la creación y transferencia de archivos a través de la red a través de SMB. Los procesos inusuales con conexiones de red externas que crean archivos dentro del sistema pueden ser sospechosos. El uso atípico de utilidades como FTP también puede ser sospechoso. También se recomienda analizar los datos de la red en busca de flujos de datos inusuales, por ejemplo, el cliente envía significativamente más datos de los que recibe del servidor. Los procesos de red que generalmente no tienen conectividad de red también son sospechosos. Examine el contenido del paquete para buscar conexiones que no coincidan con el protocolo y el puerto utilizados.Sistema: Windows, Linux, macOSDescripción: los atacantes pueden usar cuentas válidas para iniciar sesión en un servicio diseñado para aceptar conexiones de red, como telnet, SSH o VNC. Después de esto, el adversario podrá realizar acciones en nombre del usuario que ha iniciado sesión. Consideraciones deseguridad: limite la cantidad de cuentas que pueden usar los servicios remotos. Utilice la autenticación multifactor siempre que sea posible. Limite los permisos para las cuentas que tienen un mayor riesgo de compromiso, por ejemplo, configure SSH para que los usuarios puedan ejecutar solo ciertos programas. Prevenir las técnicas de acceso de credencialeseso puede permitir que un atacante adquiera credenciales válidas. Relacione la actividad de uso de inicio de sesión asociada con los servicios remotos con un comportamiento inusual u otra actividad maliciosa o sospechosa. Antes de intentar avanzar en la red, lo más probable es que un atacante necesite aprender sobre el entorno y las relaciones entre sistemas utilizando técnicas de detección .Sistema: WindowsDescripción: la técnica implica la ejecución de un programa malicioso que utiliza la función de ejecución automática en Windows. Para engañar al usuario, un atacante puede modificar previamente o reemplazar un archivo "legítimo", y luego un atacante puede copiarlo en un dispositivo extraíble. Además, la carga útil se puede implementar en el firmware del dispositivo extraíble o mediante el programa inicial de formateo de medios.Recomendaciones de protección: deshabilitar las funciones de ejecución automática en Windows. Limitar el uso de dispositivos extraíbles a nivel de la política de seguridad de la organización. Aplicación de software antivirus.Sistema: macOS, LinuxDescripción:Secure Shell (SSH) es una herramienta de acceso remoto estándar en Linux y macOS que permite a un usuario conectarse a otro sistema a través de un túnel encriptado, generalmente con contraseña, certificado o pares de claves de encriptación asimétricas. Para avanzar a través de la red desde un host comprometido, los oponentes pueden aprovechar las relaciones de confianza establecidas con otros sistemas a través de la autenticación de clave pública en sesiones SSH activas interceptando una conexión existente con otro sistema. Esto puede deberse a un compromiso del propio agente SSH o al acceso al socket del agente. Si el adversario puede obtener acceso de root en el sistema, la captura adicional de sesiones SSH será una tarea trivial. Comprometer a un agente SSH también intercepta las credenciales SSH.La técnica de secuestro de SSH es diferente del uso de la técnica de Servicios remotos porque se integra en una sesión SSH existente, en lugar de crear una nueva sesión con cuentas válidas.:Asegúrese de que los pares de claves SSH tengan contraseñas seguras y se abstengan de utilizar tecnologías de almacenamiento de claves como ssh-agent si no están protegidas adecuadamente. Asegúrese de que todas las claves privadas se almacenen de forma segura en lugares a los que solo el propietario legítimo pueda acceder con una contraseña compleja, que a menudo cambia. Verifique que los permisos de archivo sean correctos y fortalezca el sistema para evitar que se eleven los privilegios de root. No permita el acceso remoto a través de SSH con privilegios de root u otras cuentas privilegiadas. Asegúrese de que el reenvío de agente esté deshabilitado en sistemas donde no se requiere explícitamente. Teniendo en cuenta que el uso de SSH en sí mismo puede ser legítimo, dependiendo del entorno de red y de cómo se use,Los indicadores de uso sospechoso o malicioso de SSH pueden ser varios patrones de acceso y comportamiento posterior. Por ejemplo, las cuentas que inician sesión en sistemas a los que generalmente no acceden o no se conectan a múltiples sistemas por un corto período de tiempo. También se recomienda que rastree los archivos de socket de los agentes SSH de usuario que utilizan diferentes usuarios.Sistema: WindowsDescripción:Un adversario puede colocar contenido malicioso en un sitio web que tiene un directorio público de raíz web u otro directorio público para servir contenido web en el segmento interno de la red, y luego navegar a ese contenido usando un navegador web para obligar al servidor a ejecutarlo. Por lo general, el contenido malicioso se inicia en el contexto del proceso del servidor web, a menudo, dependiendo de cómo esté configurado el servidor web, esto da como resultado privilegios administrativos o del sistema local. Dicho mecanismo para compartir y ejecutar código remoto se puede usar para pasar a un sistema que ejecuta un servidor web. Por ejemplo, un servidor web que ejecuta PHP con una raíz web pública podría permitir que un atacante descargue herramientas RAT al sistema operativo del servidor web cuando visita una página específica.Recomendaciones de protección:Las redes en las que los usuarios pueden realizar un desarrollo abierto, pruebas de contenido y lanzar sus propios servidores web son especialmente vulnerables si los sistemas y servidores web no están protegidos adecuadamente: el uso de cuentas privilegiadas es ilimitado, el acceso a los recursos de la red es posible sin autenticación, y tampoco aislamiento de red de la red / sistema. Asegúrese de que los permisos para los directorios accesibles a través del servidor web sean correctos. Denegar el acceso remoto al directorio raíz del sitio (raíz web) u otros directorios utilizados para proporcionar contenido web. Deshabilitar la ejecución en directorios webroot. Asegúrese de que los permisos del proceso del servidor web sean solo los necesarios. No use cuentas integradas; en su lugar, cree cuentas específicas para limitar el acceso innecesario o para cruzar permisos en múltiples sistemas.Utilice la supervisión del proceso para determinar cuándo se escribieron los archivos en un servidor web mediante un proceso que no es normal para un servidor web o cuándo se escribieron los archivos fuera de los períodos de tiempo administrativos. Utilice la supervisión de procesos para determinar procesos normales y, posteriormente, detectar procesos anormales que generalmente no se ejecutan en el servidor web.Sistema: Derechos de Windows :Descripción del usuario : El contenido de las unidades de red públicas y otros almacenamientos puede corromperse al agregar programas maliciosos, scripts o código de explotación a los archivos alojados. Tan pronto como el usuario abra el contenido dañado, la parte maliciosa se puede ejecutar para iniciar el código malicioso en el sistema remoto. Los opositores pueden usar el método anterior para el avance lateral.Existe otro tipo de técnica que utiliza varios otros métodos de propagación de malware cuando los usuarios obtienen acceso a un directorio de red compartido. Su esencia es modificar accesos directos ( Modificación de accesos directos) directorios (.lnk) usando enmascaramiento para que las etiquetas se vean como directorios reales que estaban ocultos previamente Los Maliciosos .lnk tienen un comando incorporado que ejecuta un archivo malicioso oculto y luego abre el directorio real esperado por el usuario. La implementación de esta técnica en los directorios de red utilizados con frecuencia puede provocar infecciones frecuentes y repetidas y, como resultado, un atacante que obtiene un amplio acceso a los sistemas y, posiblemente, a cuentas nuevas y más privilegiadas.Recomendaciones de protección:Proteja las carpetas compartidas minimizando el número de usuarios con permisos de escritura. Use utilidades que puedan detectar o prevenir exploits a la primera señal, como el Kit de herramientas de experiencia de mitigación de Microsoft (EMET). Reduzca el riesgo potencial de promoción lateral mediante el uso de servicios de colaboración y gestión de documentos basados en la web que no utilizan el intercambio de archivos y directorios.Identifique y bloquee el software potencialmente peligroso y malicioso que se puede utilizar para corromper el contenido utilizando herramientas como AppLocker o Políticas de restricción de software .Se recomienda la exploración frecuente de directorios de red compartidos en busca de archivos maliciosos, archivos .LNK ocultos y otros tipos de archivos que no son típicos de un directorio específico. La sospecha debe ser causada por procesos que escriben o sobrescriben muchos archivos en un directorio de red común, así como procesos que se realizan desde medios extraíbles.Sistema: Windows, Linux, macOSDerechos: Usuario, administrador,Descripción del sistema : un atacante puede utilizar software de terceros y sistemas de implementación de software (SCCM, VNC, HBSS, Altris, etc.) utilizados en la red para fines administrativos. código en todos los hosts conectados a dichos sistemas. Los derechos necesarios para implementar esta técnica dependen de la configuración particular del sistema. Las credenciales locales pueden ser suficientes para acceder al servidor de implementación de software; sin embargo, se puede requerir una cuenta de administrador para iniciar la implementación del software.Recomendaciones de protección:Verifique el nivel de seguridad de sus sistemas de implementación de software. Asegúrese de que el acceso a los sistemas de gestión de software sea limitado, controlado y protegido. Utilice estrictamente las políticas obligatorias de aprobación previa para la implementación remota de software. Proporcione acceso a los sistemas de implementación de software a un número limitado de administradores, garantice el aislamiento del sistema de implementación de software. Asegúrese de que las credenciales para acceder al sistema de implementación de software sean únicas y no se utilicen en otros servicios en la red corporativa. Si el sistema de implementación de software está configurado para ejecutar solo archivos binarios firmados, verifique que los certificados de confianza no estén almacenados en el sistema de implementación de software en sí, sino que estén ubicados en un sistema al que no se pueda acceder de forma remota.Sistema: Derechos de Windows :Descripción del usuario : Los sistemas Windows tienen carpetas de red ocultas a las que solo pueden acceder los administradores y que permiten copiar archivos y otras funciones administrativas de forma remota. Ejemplos de recursos compartidos de administración de Windows: C $, ADMIN $, IPC $.Los opositores pueden usar esta técnica en combinación con cuentas de nivel de administrador existentes para acceso remoto al sistema a través del bloque de mensajes de servidor (SMB), interactuando con los sistemas que usan RPC, transfieren archivos y ejecutan archivos binarios migrados usando técnicas de ejecución. Ejemplos de métodos de ejecución basados en sesiones autenticadas a través de SMB / RPC son tareas programadas, servicios de inicio y WMI. Los opositores también pueden usar hash NTLM para obtener acceso a recursos compartidos de administrador a través de Pass-the-Hash. El comando net use, con credenciales válidas, se puede usar para conectar el sistema remoto a recursos compartidos de administración de Windows.Recomendaciones de protección: no utilice las mismas contraseñas para cuentas de administrador local en diferentes sistemas. Asegúrese de que las contraseñas sean complejas y únicas para que no se puedan adivinar o descifrar. Inhabilite el inicio de sesión remoto en la cuenta de administrador local incorporada. No permita que las cuentas de usuario sean miembros del grupo de administradores locales de múltiples sistemas.Identifique y bloquee el software potencialmente peligroso y malicioso que se puede utilizar para operar SMB y recursos compartidos de administración utilizando AppLocker o Políticas de restricción de software .Proporcione recopilación y almacenamiento centralizados de credenciales de inicio de sesión. El reenvío de eventos de Windows le permite recopilar datos sobre el uso exitoso / no exitoso de las cuentas que podrían usarse para navegar por la red. Rastree las acciones de usuarios remotos que se conectan a recursos compartidos de administrador. Rastree el uso de herramientas y comandos que se utilizan para conectarse a recursos compartidos de red, como la utilidad Net, o busque sistemas a los que se pueda acceder de forma remota.Sistema: Derechos de Windows : Usuario, AdministradorDescripción: WinRM es el nombre de un servicio y protocolo que permite la interacción remota del usuario con el sistema (por ejemplo, iniciar un archivo, cambiar el registro, cambiar un servicio. Para comenzar, use el comando winrm y otros programas, como PowerShell.Recomendaciones de seguridad: deshabilite el servicio WinRM, si es necesario, aísle la infraestructura con WinRM con cuentas y permisos separados. Siga las recomendaciones de WinRM para configurar métodos de autenticación y usar firewalls ho cien para restringir el acceso a WinRM y permitir el acceso solo desde ciertos dispositivos.