Aprenda tácticas adversas, técnicas y conocimientos comunes (ATT @ CK). Tácticas empresariales. Parte 8

Movimiento lateral


Enlaces a todas las partes:
Parte 1. Obtención del acceso inicial (acceso inicial)
Parte 2. Ejecución
Parte 3. Fijación (persistencia)
Parte 4. Escalada de privilegios
Parte 5. Evasión de defensa
Parte 6. Obtención de credenciales (acceso de credenciales)
Parte 7. Descubrimiento
Parte 8. Movimiento lateral
Parte 9. Recolección de datos (Colección)
Parte 10 Exfiltración
Parte 11. Comando y Control

Las tácticas de Movimiento Lateral ( Movimiento Lateral - movimiento lateral, lateral, horizontal ) incluyen métodos para que el enemigo obtenga acceso y control sobre sistemas remotos conectados a la red atacada, así como, en algunos casos, inicie herramientas maliciosas en sistemas remotos conectados a la red atacada. El movimiento lateral de la red permite a un atacante obtener información de sistemas remotos sin el uso de herramientas adicionales, como las utilidades de acceso remoto (RAT).

El autor no es responsable de las posibles consecuencias de aplicar la información establecida en el artículo, y también se disculpa por posibles imprecisiones hechas en algunas formulaciones y términos. La información publicada es un recuento gratuito de los contenidos de MITER ATT & CK .

AppleScript


Sistema: macOS
Derechos: usuario
Descripción: el lenguaje AppleScript proporciona la capacidad de trabajar con Apple Event: mensajes intercambiados entre aplicaciones como parte de la comunicación entre procesos (IPC). Con Apple Event, puede interactuar con casi cualquier aplicación que esté abierta localmente o remotamente, desencadenar eventos como abrir ventanas y presionar teclas. Las secuencias de comandos se ejecutan con el comando: Osascript -e [] .
Los atacantes pueden usar AppleScript para abrir de forma encubierta conexiones SSH a hosts remotos, dando a los usuarios diálogos falsos. AppleScript también se puede utilizar en tipos de ataques más comunes, como las organizaciones de Shell inverso.

Recomendaciones de protección: verificación obligatoria de la ejecución de scripts AppleScript para la firma de un desarrollador de confianza.

Software de implementación de aplicaciones


Sistema: Windows, Linux, macOS
Descripción: las herramientas de implementación de aplicaciones utilizadas por los administradores de redes empresariales pueden ser utilizadas por usuarios malintencionados para instalar aplicaciones maliciosas. Los permisos requeridos para completar estos pasos dependen de la configuración del sistema: se pueden requerir ciertas credenciales de dominio para acceder al servidor de instalación de software, y los privilegios locales pueden ser suficientes, sin embargo, se puede requerir una cuenta de administrador para ingresar al sistema de instalación de la aplicación e iniciar el proceso de implementación sistema El acceso a un sistema centralizado de instalación de aplicaciones corporativas permite a un adversario ejecutar código de forma remota en todos los sistemas de la red atacada. Dicho acceso se puede utilizar para moverse por la red, recopilar información o causar un efecto específico, por ejemplo, limpiar discos duros en todos los hosts.

Recomendaciones de seguridad: solo permita que un n√ļmero limitado de administradores autorizados accedan a los sistemas de implementaci√≥n de aplicaciones. Proporcione un aislamiento confiable y restrinja el acceso a los sistemas de red cr√≠ticos mediante firewalls, restrinja los privilegios de la cuenta, configure las pol√≠ticas de seguridad de grupo y la autenticaci√≥n multifactor. Aseg√ļrese de que los datos de las cuentas que tienen acceso al sistema de implementaci√≥n de software sean √ļnicos y no se utilicen en toda la red. Instale regularmente parches y actualizaciones en los sistemas de instalaci√≥n de aplicaciones para evitar que obtengan acceso remoto no autorizado a trav√©s de la explotaci√≥n de vulnerabilidades. Si el sistema de instalaci√≥n de la aplicaci√≥n est√° configurado para distribuir solo archivos binarios firmados, aseg√ļrese de que los certificados de firma de confianza no se coloquen en √©l, sino que se almacenen en un sistema al que no se pueda acceder o limitar y controlar de forma remota.

DCOM (Modelo de objetos componentes distribuidos)


Sistema: Windows
Derechos: Administrador, Sistema
Descripci√≥n: DCOM es un protocolo que ampl√≠a la funcionalidad del Modelo de objetos componentes (COM), permitiendo que los componentes de software interact√ļen no solo dentro del sistema local, sino tambi√©n a trav√©s de la red, utilizando la tecnolog√≠a Remote Procedure Call (RPC), con componentes de aplicaci√≥n de otros sistemas. COM es un componente de la API de Windows. A trav√©s de COM, un objeto de cliente puede llamar a un m√©todo de objeto de servidor, generalmente archivos DLL o archivos .exe. Los permisos para interactuar con un objeto COM de servidor local o remoto se definen mediante ACL en el registro. De forma predeterminada, solo los administradores pueden activar y ejecutar de forma remota objetos COM a trav√©s de DCOM.

Los enemigos pueden usar DCOM para moverse de lado a través de la red. A través de DCOM, un atacante que trabaje en el contexto de un usuario con los privilegios apropiados puede ejecutar remotamente código arbitrario a través de aplicaciones de Office y otros objetos de Windows que contienen métodos inseguros. DCOM también puede ejecutar macros en documentos existentes, así como llamar a Dynamic Data Exchange (DDE) directamente a través de un objeto COM creado en Microsoft Office, evitando la necesidad de crear un documento malicioso. DCOM también puede proporcionar a un adversario funciones que se pueden usar en otras etapas del ataque, como la escalada de privilegios o el acceso de fijación.

Recomendaciones de protección: Con el registro, configure los ajustes de seguridad individuales para las aplicaciones COM: código> HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ AppID.
Considere deshabilitar el soporte DCOM utilizando la utilidad dcomcnfg.exe o en el registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\EnableDCOM=SZ:N
Habilite Firewall de Windows, que de forma predeterminada evita que se creen instancias DCOM. Active la visualización segura y las notificaciones sobre el lanzamiento de objetos COM en documentos de MS Office.

Explotación de servicios remotos


Sistema: Windows, Linux, macOS
Derechos: usuario
Descripci√≥n: para ejecutar c√≥digo arbitrario, los atacantes pueden utilizar exploits que utilizan errores en programas, servicios, software del sistema operativo o incluso en el n√ļcleo del sistema operativo. El prop√≥sito de explotar las vulnerabilidades de los servicios remotos despu√©s del compromiso inicial es proporcionar acceso remoto a los sistemas para moverse por la red.

Anteriormente, el adversario necesita identificar sistemas con vulnerabilidades. Esto se puede hacer escaneando los servicios de red u otros m√©todos de detecci√≥n , como la b√ļsqueda de software vulnerable com√ļn y parches faltantes, lo que indica la presencia de vulnerabilidades, o la b√ļsqueda de herramientas de seguridad que se utilizan para detectar y bloquear la explotaci√≥n remota de vulnerabilidades. Es muy probable que los servidores sean un objetivo valioso para usar cuando naveguen por la red, pero las estaciones de trabajo tambi√©n est√°n en riesgo si brindan al adversario alguna ventaja o acceso a recursos adicionales.

Las vulnerabilidades se conocen en servicios compartidos, como SMB, RDP, así como en aplicaciones que se pueden usar en redes internas, como MySQL y servicios de servidor web. Dependiendo de los permisos del servicio vulnerable, un adversario puede obtener además escalada de privilegios mediante un movimiento lateral.

Consejos de seguridad: segmente las redes y sistemas para reducir el acceso a sistemas y servicios críticos. Minimice la disponibilidad de servicios al otorgar derechos solo a aquellos que los necesitan. Verifique su red interna regularmente en busca de servicios nuevos y potencialmente vulnerables. Minimice los permisos y el acceso a las cuentas de servicio para limitar la cobertura.

Actualice regularmente el software, implemente el proceso de gestión de la instalación de parches de aplicaciones en hosts y servidores internos. Desarrolle procedimientos de análisis de amenazas cibernéticas para determinar los tipos y niveles de amenazas durante los cuales se pueden utilizar exploits contra su organización, incluidos los exploits de vulnerabilidades de día cero. Use cajas de arena para dificultar que el enemigo realice operaciones utilizando vulnerabilidades desconocidas o no corregidas. Otros tipos de microsegmentación y virtualización de aplicaciones también pueden mitigar los efectos de ciertos tipos de exploits. El software de seguridad como Windows Defender Exploit Guard (WDEG) y Enhanced Mitigation Experience Toolkit (EMET), cuyo objetivo es encontrar el comportamiento utilizado durante la explotación de vulnerabilidades, se puede utilizar para proteger contra exploits. Verificar la integridad del flujo de control es otra forma de identificar y bloquear la explotación de vulnerabilidades de software. Muchas de las características de seguridad enumeradas pueden no funcionar para todos los programas y servicios; la compatibilidad depende de la arquitectura y el archivo binario de la aplicación de destino.

Dependiendo de las herramientas disponibles, la detección por parte de la parte defensora de la explotación de vulnerabilidades puede ser difícil. Las vulnerabilidades de software pueden no siempre tener éxito o provocar un funcionamiento inestable o la finalización anormal del proceso atacado. Preste atención a los indicadores de compromiso, por ejemplo, comportamiento anormal de procesos, aparición de archivos sospechosos en el disco, tráfico de red inusual, signos de activación de herramientas de detección, inyecciones de procesos.

Scripts de inicio de sesión


Sistema: Windows, macOS
Descripción: Un adversario puede usar la capacidad de crear nuevas secuencias de comandos de inicio de sesión o modificarlas, secuencias de comandos que se ejecutan cada vez que un usuario o grupo de usuarios en particular inicia sesión en el sistema. Si un atacante obtuvo acceso a un script de inicio de sesión en un controlador de dominio, puede modificarlo para ejecutar código en todos los sistemas del dominio para moverse lateralmente por la red. Dependiendo de los permisos de los scripts de inicio de sesión, se pueden requerir credenciales locales o administrativas.
En una Mac, los scripts de inicio de sesión ( gancho de inicio de sesión / cierre de sesión ), a diferencia del elemento de inicio de sesión, que se ejecutan en el contexto del usuario, se pueden ejecutar como root.

Recomendaciones de seguridad: Restricción de privilegios de administrador para crear scripts de inicio de sesión. Identificación y bloqueo de software potencialmente peligroso que se puede utilizar para modificar escenarios de inicio de sesión. Windows AppLocker puede bloquear el inicio de programas desconocidos.

Pase el hash


Sistema: Windows
Descripci√≥n: Pass the Hash (PtH) es un m√©todo para autenticar a un usuario sin acceso a su contrase√Īa en forma clara. El m√©todo consiste en omitir los pasos de autenticaci√≥n est√°ndar que requieren una contrase√Īa e ir directamente a esa parte de la autenticaci√≥n que utiliza el hash de contrase√Īa. El adversario captura los valores hash de las contrase√Īas reales mediante t√©cnicas de acceso de credenciales, luego los valores hash se utilizan para la autenticaci√≥n PtH, que se puede utilizar para realizar acciones en sistemas locales o remotos.

Para ejecutar el ataque Pass the Hash en Windows 7 y superior con la actualización KB2871997 instalada, necesita credenciales de usuario de dominio válidas o hashes de administrador (RID 500).

Recomendaciones de protección: supervise los registros del sistema y del dominio para identificar la actividad inusual de los inicios de sesión de cuentas. Evitar el acceso a cuentas existentes. En los sistemas de Windows 7 y superiores, instale la revisión KB2871997 para restringir el acceso a las cuentas en los grupos de administradores locales predeterminados.

Para minimizar la posibilidad de implementar Pass the Hash, desactive el inicio remoto de UAC cuando un usuario inicie sesión a través de la red editando la clave correspondiente en el registro o las políticas de grupo:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPolice

GPO:Computer Configuration > [Policies] > Administrative Templates > SCM: Pass the Hash Mitigation: Apply UAC restriction to local accounts on network logons

Limite la coincidencia de cuentas en diferentes sistemas para evitar su compromiso y reducir la capacidad del enemigo para moverse entre sistemas. Aseg√ļrese de que las credenciales incorporadas y creadas de los administradores locales tengan contrase√Īas complejas y √ļnicas. No permita que un usuario de dominio sea miembro del grupo de administradores locales en varios sistemas. Para detectar ataques Pass the Hash, se utiliza una auditor√≠a de todos los eventos de inicio de sesi√≥n y uso de credenciales con la comprobaci√≥n de discrepancias (por ejemplo, se utiliz√≥ una cuenta simult√°neamente en varios sistemas). Los inicios de sesi√≥n inusuales asociados con actividades sospechosas (por ejemplo, crear y ejecutar archivos binarios) tambi√©n pueden indicar actividad maliciosa. Los eventos de autenticaci√≥n del tipo NTLM LogonType 3 (entrada de red) que no est√°n relacionados con cuentas de dominio y no an√≥nimas (usuarios con SID S-1-5-7) tambi√©n deben ser sospechosos.

Pase el boleto


Sistema: Windows
Descripci√≥n: Pass the Ticket (PtT) es un m√©todo de autenticaci√≥n de tickets Kerberos sin acceso a una contrase√Īa de cuenta. La autenticaci√≥n Kerberos se puede usar como un primer paso para mover un adversario a un sistema remoto.
Durante PtT, los tickets válidos de Kerberos para las cuentas existentes son capturados por el adversario utilizando técnicas de descarga de credenciales . Dependiendo del nivel de acceso, se pueden obtener tickets de servicio de usuario o tickets de concesión de tickets (TGT). Un ticket de servicio permite el acceso a un recurso específico, mientras que un TGT se puede utilizar para solicitar tickets de servicio de un servicio de tickets (TGS) para acceder a cualquier recurso al que tenga acceso un usuario.

Silver Ticket (TGS falso) se puede obtener para servicios que usan Kerberos como mecanismo de autenticación, y se utiliza para generar tickets para acceder a un recurso específico y al sistema en el que se encuentra el recurso (por ejemplo, SharePoint).

Golden Ticket (ticket Kerberos para acceso ilimitado a los recursos en el contexto de cualquier usuario, incluidos usuarios inexistentes) se puede obtener utilizando el hash NTLM de la cuenta de servicio de distribución de claves: KRBTGT, que hace posible generar TGT para cualquier cuenta en AD.

Recomendaciones de protecci√≥n: supervise las credenciales inusuales en el sistema. Limite la coincidencia de credenciales en todos los sistemas, evitando as√≠ da√Īos en caso de compromiso. Aseg√ļrese de que las cuentas de administrador local tengan contrase√Īas complejas y √ļnicas. No permita que el usuario sea el administrador local de varios sistemas. Limite los permisos de la cuenta de administrador de dominio para controladores de dominio y servidores restringidos. Delegue otras funciones de administrador a cuentas individuales.

Para contrarrestar el Gold Ticket generado previamente, restablezca la contrase√Īa de la cuenta integrada KRBTGT dos veces, lo que invalidar√° todos los Golden Tickets creados con el hash de contrase√Īa KRBTGT y otros boletos Kerberos recibidos de Golden Ticket.

Utilizando herramientas de listas blancas de aplicaciones como Applocker o Políticas de restricción de software, intente identificar y bloquear software desconocido o malicioso que pueda usarse para recibir tickets de Kerberos y autenticación adicional.

Para detectar ataques PtT, recomendamos auditar todos los eventos de autenticación Kerberos y usar credenciales con análisis de discrepancias. Los eventos de autenticación remota inusuales que se correlacionan con otras actividades sospechosas (como escribir y ejecutar binarios) pueden servir como un indicador de actividad maliciosa.
El evento ID4769 se genera en un controlador de dominio cuando se utiliza Golden Ticket despu√©s de un doble restablecimiento de la contrase√Īa KRBTGT. El c√≥digo de estado 0x1F indica una comprobaci√≥n de integridad fallida del campo encriptado e indica un intento de usar un Golden Ticket no v√°lido.

Protocolo de escritorio remoto


Sistema: Windows
Derechos: usuarios de escritorio remoto, usuarios
Descripción: Escritorio remoto es una característica típica de los sistemas operativos que permite al usuario iniciar sesión en una sesión interactiva con una interfaz gráfica en una computadora remota. Microsoft llama a su implementación del protocolo RDP como Remote Desktop Servoce (RDS) . Existen otras implementaciones y herramientas de terceros que proporcionan acceso gráfico a servicios remotos como RDS. Los enemigos pueden conectarse al sistema remoto a través de RDP / RDS para ampliar el acceso si el servicio correspondiente está activado y permite el acceso con credenciales conocidas al atacante. Anteriormente, el adversario probablemente usará técnicas de acceso de credenciales para obtener credenciales que puedan usarse con RDP. Los opositores también pueden usar RDP en combinación con la técnica de abuso de accesibilidad de Windows para protegerse en el sistema.

Un atacante también podría intentar secuestrar sesiones RDP que involucren sesiones remotas de usuarios legítimos. Por lo general, cuando intenta robar una sesión, el usuario recibe una notificación y una solicitud de confirmación, sin embargo, al tener permisos de nivel de sistema utilizando la consola de Terminal Services, puede interceptar la sesión sin proporcionar credenciales y confirmar al usuario: C:\Windows\system32\tscon.exe [ , ] .
Esto se puede hacer de forma remota o local con sesiones activas o canceladas. También puede conducir a la escalada de privilegios al secuestrar a un administrador de dominio o un usuario más privilegiado. Todo lo anterior se puede hacer utilizando los comandos integrados de Windows, o la funcionalidad correspondiente se puede agregar a las herramientas para la pentesting, por ejemplo RedSnarf .

Recomendaciones de protección: deshabilite el servicio RDP si no es necesario, elimine cuentas y grupos innecesarios del grupo Usuarios de escritorio remoto , habilite la regla de bloqueo de tráfico RDP entre zonas de seguridad en el firewall. Compruebe los miembros del grupo de usuarios de Escritorio remoto con regularidad. Elimine el grupo de administradores de la lista de grupos que pueden iniciar sesión a través de RDP. Si se requiere acceso remoto, entonces restrinja los derechos del usuario remoto. Use puertas de enlace de escritorio remoto y autenticación multifactor para inicio de sesión remoto. No deje RDP accesible desde Internet. Modifique el GPO definiendo tiempos de espera y el tiempo máximo que una sesión remota puede estar activa. Cambie el GPO para indicar el tiempo máximo que la sesión remota desconectada permanece activa en el servidor host.

Debido al hecho de que el uso de RDP puede ser un proceso completamente legítimo, los indicadores de actividad maliciosa pueden ser patrones de acceso y acciones que ocurren después de un inicio de sesión remoto, por ejemplo, los usuarios que inician sesión en sistemas a los que generalmente no acceden o inician sesión en varios sistemas durante tiempo relativamente corto Para evitar la interceptación de sesiones RDP, se recomienda supervisar el uso de tscon.exe y crear servicios que utilicen cmd.exe /kcualquiera cmd.exe /cde sus argumentos.

Copia remota de archivos


Sistema: Windows, Linux, macOS
Derechos: Descripción del usuario
:Los archivos se pueden copiar de un sistema a otro para desplegar herramientas enemigas u otros archivos durante una operación. Los archivos se pueden copiar desde un sistema externo controlado por un atacante, a través del canal C&C o utilizando otras herramientas que utilizan protocolos alternativos, como FTP. Los archivos también se pueden copiar a Mac y Linux utilizando herramientas integradas como scp, rsync, sftp. Los enemigos también pueden copiar archivos lateralmente entre sistemas internos de víctimas para soportar el movimiento de la red y la ejecución remota de comandos. Esto se puede hacer usando protocolos para compartir archivos conectando recursos de red a través de SMB o usando conexiones autenticadas a Windows Admin Shares o RDP.

Recomendaciones de protecci√≥n:El uso de sistemas IDS / IPS que usan firmas para identificar tr√°fico malicioso o transferencias de datos inusuales a trav√©s de herramientas y protocolos conocidos como FTP, que pueden usarse para reducir la actividad a nivel de red. Las firmas se usan generalmente para detectar indicadores de protocolo √ļnicos y se basan en una t√©cnica de ofuscaci√≥n espec√≠fica utilizada por un atacante o herramienta espec√≠fica, y lo m√°s probable es que sean diferentes para diferentes familias y versiones de malware. Es probable que los atacantes modifiquen la firma de las herramientas C2 o creen protocolos de tal manera que eviten ser detectados por herramientas de seguridad conocidas.

Como medio de detección, se recomienda monitorear la creación y transferencia de archivos a través de la red a través de SMB. Los procesos inusuales con conexiones de red externas que crean archivos dentro del sistema pueden ser sospechosos. El uso atípico de utilidades como FTP también puede ser sospechoso. También se recomienda analizar los datos de la red en busca de flujos de datos inusuales, por ejemplo, el cliente envía significativamente más datos de los que recibe del servidor. Los procesos de red que generalmente no tienen conectividad de red también son sospechosos. Examine el contenido del paquete para buscar conexiones que no coincidan con el protocolo y el puerto utilizados.

Servicios remotos


Sistema: Windows, Linux, macOS
Descripci√≥n: los atacantes pueden usar cuentas v√°lidas para iniciar sesi√≥n en un servicio dise√Īado para aceptar conexiones de red, como telnet, SSH o VNC. Despu√©s de esto, el adversario podr√° realizar acciones en nombre del usuario que ha iniciado sesi√≥n. Consideraciones de

seguridad: limite la cantidad de cuentas que pueden usar los servicios remotos. Utilice la autenticación multifactor siempre que sea posible. Limite los permisos para las cuentas que tienen un mayor riesgo de compromiso, por ejemplo, configure SSH para que los usuarios puedan ejecutar solo ciertos programas. Prevenir las técnicas de acceso de credencialeseso puede permitir que un atacante adquiera credenciales válidas. Relacione la actividad de uso de inicio de sesión asociada con los servicios remotos con un comportamiento inusual u otra actividad maliciosa o sospechosa. Antes de intentar avanzar en la red, lo más probable es que un atacante necesite aprender sobre el entorno y las relaciones entre sistemas utilizando técnicas de detección .

Replicación a través de medios extraíbles


Sistema: Windows
Descripci√≥n: la t√©cnica implica la ejecuci√≥n de un programa malicioso que utiliza la funci√≥n de ejecuci√≥n autom√°tica en Windows. Para enga√Īar al usuario, un atacante puede modificar previamente o reemplazar un archivo "leg√≠timo", y luego un atacante puede copiarlo en un dispositivo extra√≠ble. Adem√°s, la carga √ļtil se puede implementar en el firmware del dispositivo extra√≠ble o mediante el programa inicial de formateo de medios.

Recomendaciones de protección: deshabilitar las funciones de ejecución automática en Windows. Limitar el uso de dispositivos extraíbles a nivel de la política de seguridad de la organización. Aplicación de software antivirus.

Captura SSH (Secuestro SSH)


Sistema: macOS, Linux
Descripci√≥n:Secure Shell (SSH) es una herramienta de acceso remoto est√°ndar en Linux y macOS que permite a un usuario conectarse a otro sistema a trav√©s de un t√ļnel encriptado, generalmente con contrase√Īa, certificado o pares de claves de encriptaci√≥n asim√©tricas. Para avanzar a trav√©s de la red desde un host comprometido, los oponentes pueden aprovechar las relaciones de confianza establecidas con otros sistemas a trav√©s de la autenticaci√≥n de clave p√ļblica en sesiones SSH activas interceptando una conexi√≥n existente con otro sistema. Esto puede deberse a un compromiso del propio agente SSH o al acceso al socket del agente. Si el adversario puede obtener acceso de root en el sistema, la captura adicional de sesiones SSH ser√° una tarea trivial. Comprometer a un agente SSH tambi√©n intercepta las credenciales SSH.La t√©cnica de secuestro de SSH es diferente del uso de la t√©cnica de Servicios remotos porque se integra en una sesi√≥n SSH existente, en lugar de crear una nueva sesi√≥n con cuentas v√°lidas.

:Aseg√ļrese de que los pares de claves SSH tengan contrase√Īas seguras y se abstengan de utilizar tecnolog√≠as de almacenamiento de claves como ssh-agent si no est√°n protegidas adecuadamente. Aseg√ļrese de que todas las claves privadas se almacenen de forma segura en lugares a los que solo el propietario leg√≠timo pueda acceder con una contrase√Īa compleja, que a menudo cambia. Verifique que los permisos de archivo sean correctos y fortalezca el sistema para evitar que se eleven los privilegios de root. No permita el acceso remoto a trav√©s de SSH con privilegios de root u otras cuentas privilegiadas. Aseg√ļrese de que el reenv√≠o de agente est√© deshabilitado en sistemas donde no se requiere expl√≠citamente. Teniendo en cuenta que el uso de SSH en s√≠ mismo puede ser leg√≠timo, dependiendo del entorno de red y de c√≥mo se use,Los indicadores de uso sospechoso o malicioso de SSH pueden ser varios patrones de acceso y comportamiento posterior. Por ejemplo, las cuentas que inician sesi√≥n en sistemas a los que generalmente no acceden o no se conectan a m√ļltiples sistemas por un corto per√≠odo de tiempo. Tambi√©n se recomienda que rastree los archivos de socket de los agentes SSH de usuario que utilizan diferentes usuarios.

Ra√≠z web p√ļblica (ra√≠z web compartida)


Sistema: Windows
Descripci√≥n:Un adversario puede colocar contenido malicioso en un sitio web que tiene un directorio p√ļblico de ra√≠z web u otro directorio p√ļblico para servir contenido web en el segmento interno de la red, y luego navegar a ese contenido usando un navegador web para obligar al servidor a ejecutarlo. Por lo general, el contenido malicioso se inicia en el contexto del proceso del servidor web, a menudo, dependiendo de c√≥mo est√© configurado el servidor web, esto da como resultado privilegios administrativos o del sistema local. Dicho mecanismo para compartir y ejecutar c√≥digo remoto se puede usar para pasar a un sistema que ejecuta un servidor web. Por ejemplo, un servidor web que ejecuta PHP con una ra√≠z web p√ļblica podr√≠a permitir que un atacante descargue herramientas RAT al sistema operativo del servidor web cuando visita una p√°gina espec√≠fica.

Recomendaciones de protecci√≥n:Las redes en las que los usuarios pueden realizar un desarrollo abierto, pruebas de contenido y lanzar sus propios servidores web son especialmente vulnerables si los sistemas y servidores web no est√°n protegidos adecuadamente: el uso de cuentas privilegiadas es ilimitado, el acceso a los recursos de la red es posible sin autenticaci√≥n, y tampoco aislamiento de red de la red / sistema. Aseg√ļrese de que los permisos para los directorios accesibles a trav√©s del servidor web sean correctos. Denegar el acceso remoto al directorio ra√≠z del sitio (ra√≠z web) u otros directorios utilizados para proporcionar contenido web. Deshabilitar la ejecuci√≥n en directorios webroot. Aseg√ļrese de que los permisos del proceso del servidor web sean solo los necesarios. No use cuentas integradas; en su lugar, cree cuentas espec√≠ficas para limitar el acceso innecesario o para cruzar permisos en m√ļltiples sistemas.

Utilice la supervisión del proceso para determinar cuándo se escribieron los archivos en un servidor web mediante un proceso que no es normal para un servidor web o cuándo se escribieron los archivos fuera de los períodos de tiempo administrativos. Utilice la supervisión de procesos para determinar procesos normales y, posteriormente, detectar procesos anormales que generalmente no se ejecutan en el servidor web.

Manchar contenido compartido


Sistema:
Derechos de Windows :
Descripci√≥n del usuario : El contenido de las unidades de red p√ļblicas y otros almacenamientos puede corromperse al agregar programas maliciosos, scripts o c√≥digo de explotaci√≥n a los archivos alojados. Tan pronto como el usuario abra el contenido da√Īado, la parte maliciosa se puede ejecutar para iniciar el c√≥digo malicioso en el sistema remoto. Los opositores pueden usar el m√©todo anterior para el avance lateral.

Existe otro tipo de técnica que utiliza varios otros métodos de propagación de malware cuando los usuarios obtienen acceso a un directorio de red compartido. Su esencia es modificar accesos directos ( Modificación de accesos directos) directorios (.lnk) usando enmascaramiento para que las etiquetas se vean como directorios reales que estaban ocultos previamente Los Maliciosos .lnk tienen un comando incorporado que ejecuta un archivo malicioso oculto y luego abre el directorio real esperado por el usuario. La implementación de esta técnica en los directorios de red utilizados con frecuencia puede provocar infecciones frecuentes y repetidas y, como resultado, un atacante que obtiene un amplio acceso a los sistemas y, posiblemente, a cuentas nuevas y más privilegiadas.

Recomendaciones de protecci√≥n:Proteja las carpetas compartidas minimizando el n√ļmero de usuarios con permisos de escritura. Use utilidades que puedan detectar o prevenir exploits a la primera se√Īal, como el Kit de herramientas de experiencia de mitigaci√≥n de Microsoft (EMET). Reduzca el riesgo potencial de promoci√≥n lateral mediante el uso de servicios de colaboraci√≥n y gesti√≥n de documentos basados ‚Äč‚Äčen la web que no utilizan el intercambio de archivos y directorios.

Identifique y bloquee el software potencialmente peligroso y malicioso que se puede utilizar para corromper el contenido utilizando herramientas como AppLocker o Políticas de restricción de software .
Se recomienda la exploraci√≥n frecuente de directorios de red compartidos en busca de archivos maliciosos, archivos .LNK ocultos y otros tipos de archivos que no son t√≠picos de un directorio espec√≠fico. La sospecha debe ser causada por procesos que escriben o sobrescriben muchos archivos en un directorio de red com√ļn, as√≠ como procesos que se realizan desde medios extra√≠bles.

Software de terceros (software de terceros)


Sistema: Windows, Linux, macOS
Derechos: Usuario, administrador,
Descripción del sistema : un atacante puede utilizar software de terceros y sistemas de implementación de software (SCCM, VNC, HBSS, Altris, etc.) utilizados en la red para fines administrativos. código en todos los hosts conectados a dichos sistemas. Los derechos necesarios para implementar esta técnica dependen de la configuración particular del sistema. Las credenciales locales pueden ser suficientes para acceder al servidor de implementación de software; sin embargo, se puede requerir una cuenta de administrador para iniciar la implementación del software.

Recomendaciones de protecci√≥n:Verifique el nivel de seguridad de sus sistemas de implementaci√≥n de software. Aseg√ļrese de que el acceso a los sistemas de gesti√≥n de software sea limitado, controlado y protegido. Utilice estrictamente las pol√≠ticas obligatorias de aprobaci√≥n previa para la implementaci√≥n remota de software. Proporcione acceso a los sistemas de implementaci√≥n de software a un n√ļmero limitado de administradores, garantice el aislamiento del sistema de implementaci√≥n de software. Aseg√ļrese de que las credenciales para acceder al sistema de implementaci√≥n de software sean √ļnicas y no se utilicen en otros servicios en la red corporativa. Si el sistema de implementaci√≥n de software est√° configurado para ejecutar solo archivos binarios firmados, verifique que los certificados de confianza no est√©n almacenados en el sistema de implementaci√≥n de software en s√≠, sino que est√©n ubicados en un sistema al que no se pueda acceder de forma remota.

Recursos compartidos de administrador de Windows


Sistema:
Derechos de Windows :
Descripción del usuario : Los sistemas Windows tienen carpetas de red ocultas a las que solo pueden acceder los administradores y que permiten copiar archivos y otras funciones administrativas de forma remota. Ejemplos de recursos compartidos de administración de Windows: C $, ADMIN $, IPC $.
Los opositores pueden usar esta t√©cnica en combinaci√≥n con cuentas de nivel de administrador existentes para acceso remoto al sistema a trav√©s del bloque de mensajes de servidor (SMB), interactuando con los sistemas que usan RPC, transfieren archivos y ejecutan archivos binarios migrados usando t√©cnicas de ejecuci√≥n. Ejemplos de m√©todos de ejecuci√≥n basados ‚Äč‚Äčen sesiones autenticadas a trav√©s de SMB / RPC son tareas programadas, servicios de inicio y WMI. Los opositores tambi√©n pueden usar hash NTLM para obtener acceso a recursos compartidos de administrador a trav√©s de Pass-the-Hash. El comando net use, con credenciales v√°lidas, se puede usar para conectar el sistema remoto a recursos compartidos de administraci√≥n de Windows.

Recomendaciones de protecci√≥n: no utilice las mismas contrase√Īas para cuentas de administrador local en diferentes sistemas. Aseg√ļrese de que las contrase√Īas sean complejas y √ļnicas para que no se puedan adivinar o descifrar. Inhabilite el inicio de sesi√≥n remoto en la cuenta de administrador local incorporada. No permita que las cuentas de usuario sean miembros del grupo de administradores locales de m√ļltiples sistemas.

Identifique y bloquee el software potencialmente peligroso y malicioso que se puede utilizar para operar SMB y recursos compartidos de administración utilizando AppLocker o Políticas de restricción de software .

Proporcione recopilación y almacenamiento centralizados de credenciales de inicio de sesión. El reenvío de eventos de Windows le permite recopilar datos sobre el uso exitoso / no exitoso de las cuentas que podrían usarse para navegar por la red. Rastree las acciones de usuarios remotos que se conectan a recursos compartidos de administrador. Rastree el uso de herramientas y comandos que se utilizan para conectarse a recursos compartidos de red, como la utilidad Net, o busque sistemas a los que se pueda acceder de forma remota.

Administración remota de Windows (WinRM)


Sistema:
Derechos de Windows : Usuario, Administrador
Descripción: WinRM es el nombre de un servicio y protocolo que permite la interacción remota del usuario con el sistema (por ejemplo, iniciar un archivo, cambiar el registro, cambiar un servicio. Para comenzar, use el comando winrm y otros programas, como PowerShell.

Recomendaciones de seguridad: deshabilite el servicio WinRM, si es necesario, aísle la infraestructura con WinRM con cuentas y permisos separados. Siga las recomendaciones de WinRM para configurar métodos de autenticación y usar firewalls ho cien para restringir el acceso a WinRM y permitir el acceso solo desde ciertos dispositivos.

Source: https://habr.com/ru/post/439026/


All Articles