Enlaces a todas las partes:Parte 1. Obtención del acceso inicial (acceso inicial)Parte 2. EjecuciónParte 3. Fijación (persistencia)Parte 4. Escalada de privilegiosParte 5. Evasión de defensaParte 6. Obtención de credenciales (acceso de credenciales)Parte 7. DescubrimientoParte 8. Movimiento lateralParte 9. Recolección de datos (Colección)Parte 10 ExfiltraciónParte 11. Comando y ControlUna vez obtenidas las credenciales, un atacante obtiene acceso o incluso control sobre las cuentas (tecnológicas) del sistema, dominio o servicio. El adversario probablemente intentará obtener credenciales legítimas de cuentas de usuario y administrativas para identificarse en el sistema y obtener todos los permisos de la cuenta capturada, lo que complica la tarea de detectar actividades maliciosas en el lado defensor. El adversario también, si es posible, puede crear cuentas con el propósito de su uso posterior en el entorno atacado.
El autor no es responsable de las posibles consecuencias de aplicar la información contenida en el artículo, y también se disculpa por posibles imprecisiones hechas en algunas formulaciones y términos. La información publicada es un recuento gratuito de los contenidos de MITER ATT & CK .Sistema: Windows
Derechos: administrador
Descripción: la manipulación de la cuenta tiene como objetivo mantener un cierto nivel de derechos de acceso en el entorno atacado. La manipulación implica cambiar los permisos, la configuración de la cuenta y cómo verificar su autenticidad, agregar o cambiar grupos de acceso. Las acciones de un atacante pueden estar dirigidas a socavar las políticas de seguridad, como la caducidad de la contraseña, para extender la vida de las cuentas comprometidas. Para crear o administrar cuentas, el adversario ya debe tener permisos suficientes en el sistema o dominio.
Consejos de seguridad: use autenticación multifactor. Proteja los controladores de dominio restringiendo el acceso a estos sistemas. Evite usar cuentas de administrador de dominio en sistemas no privilegiados y para las operaciones diarias que podrían comprometerlos.
Sistema: Linux, macOS
Derechos: usuario
Descripción: Bash rastrea los comandos que ejecuta un usuario utilizando la utilidad Historial. Cuando el usuario
cierra sesión, la historia se guarda en el archivo
~ / .bash_history . Por lo general, este archivo contiene los últimos 500 comandos de usuario. A menudo, en los parámetros del comando, el usuario especifica el nombre de usuario y la contraseña, que también se guardarán en
~ / .bash_history cuando el usuario cierre la sesión. Los atacantes pueden ver archivos
~ / .bash_history de varios usuarios del sistema con la esperanza de obtener credenciales.
Recomendaciones de protección: hay varias formas de evitar escribir el historial de comandos en el archivo
~ / .bash_history :
•
establecer + o historial : deshabilita la grabación;
•
establecer -o historial - reanudar la grabación;
•
unist HISTFILE : agregue al archivo bash_rc;
•
ln -s / dev / null ~ / .bash_history : escribe el historial de comandos en
/ dev / null .
Sistema: Windows, Linux, macOS
Derechos: usuario
Descripción: Un adversario puede usar herramientas para descifrar contraseñas cuando las credenciales son desconocidas o cuando no puede obtener un hash de contraseña. Los opositores pueden aplicar técnicas de selección sistemática calculando un caché adecuado o utilizando tablas de arco iris. El hash de hashes generalmente se realiza fuera del sistema atacado. Sin conocer la contraseña, los atacantes pueden intentar iniciar sesión con una contraseña vacía o un valor de la lista de posibles contraseñas. Dependiendo de la política de contraseñas, tales acciones pueden conducir a numerosos errores de autenticación y bloqueo de la cuenta, por lo que el adversario puede usar el llamado intercambio de contraseñas, cuya esencia es clasificar las contraseñas más populares o probables con diferentes cuentas. Esto reduce la probabilidad de que ocurra un bloqueo al iterar a través de múltiples contraseñas con una sola cuenta.
Recomendaciones de seguridad: aplique políticas de bloqueo de cuenta después de un cierto número de intentos fallidos de inicio de sesión. Considere el uso de autenticación multifactor. Siga las recomendaciones para evitar el acceso no autorizado a cuentas existentes
(consulte las recomendaciones de protección para la técnica de Cuentas válidas) .
Sistema: Windows, Linux, macOS
Derechos: administrador, sistema, root
Descripción: Las credenciales de volcado (
eng. Dumping
- "eliminación de desechos" ) es el proceso de obtener inicios de sesión y contraseñas, generalmente en forma de hash o contraseña de texto, desde el sistema operativo o el software. Las herramientas para arrojar credenciales pueden ser utilizadas por atacantes y probadores de seguridad.
VentanasSAM (Gerente de cuenta)SAM es una base de datos de cuentas de host locales. Por lo general, SAM almacena las cuentas que muestra el comando "
usuario neto ". Leer SAM requiere acceso a nivel de sistema. Hay muchas herramientas para extraer datos de SAM de la memoria:
•
pwdumpx.exe ;
•
gsecdump ;
•
Mimikatz ;
•
secretdump.py .
El archivo SAM se puede extraer del registro utilizando la utilidad REG:
reg save HKLM\sam sam;
reg save HKLM\system system.A continuación,
Creddump7 lo ayuda a recuperar los hashes de la base de datos SAM.
Nota: Rid 500 es la cuenta de administrador local incorporada.
Rid 501 es una cuenta de invitado. Las cuentas de usuario comienzan con
Rid 1000+ .
Credenciales en caché (DCC2)Las credenciales de caché de dominio v2 (DCC2) es la caché de credenciales utilizada por Windows Vista y posterior para autenticar al usuario cuando el controlador de dominio no está disponible. El número de cuentas en caché puede ser individualmente para cada sistema. Este hash no es susceptible a
los ataques de
pasar el hash . Para extraer un archivo SAM de la memoria, use cl. herramientas:
•
pwdumpx.exe ;
•
gsecdump ;
•
Mimikatz ;
•
secretdump.pyAlternativamente, también se puede usar la utilidad Reg o Creddump7. El almacenamiento en caché de credenciales en Windows Vista se realiza utilizando
PBKDF2 (estándar de generación de clave de contraseña).
Secretos de la Autoridad de Seguridad Local (LSA)Los secretos de LSA son almacenes de credenciales en caché en los que el sistema almacena credenciales, incluidas contraseñas de usuario, cuentas de servicio, InternetExpolorer, contraseñas SQL y otros datos privados, como claves de cifrado de contraseñas de dominio. Con permisos de nivel de sistema, puede acceder a los secretos de LSA almacenados en el registro:
HKEY_LOCAL_MACHINE \ SECURITY \ Policy \ Secrets .
Cuando los servicios comienzan en el contexto de una cuenta local o de dominio, sus contraseñas se almacenan en el registro. Si el inicio de sesión automático está habilitado, la información de la cuenta privada también se almacena en el registro. Por analogía con los métodos de descarga anteriores, se utilizan las mismas herramientas para atacar LSA Secret:
•
pwdumpx.exe ;
•
gsecdump ;
•
Mimikatz ;
•
secretdump.pyEl archivo SAM se puede extraer del registro con la utilidad REG y las credenciales con Creddump7. Las contraseñas extraídas de LSA Secret están codificadas en UTF-16, es decir texto plano Windows 10 utiliza características de seguridad adicionales de LSA Secret.
NTDS del controlador de dominioPara la autenticación y autorización, AD almacena información sobre los miembros del dominio: dispositivos y usuarios. De manera predeterminada, la base de datos AD se almacena en el controlador de dominio en el
archivo% SystemRoot% \ NTDS \ Ntds.dit .
Los siguientes métodos y herramientas se utilizan para extraer hashes de la base de datos de AD:
• Volume Shadow Copy (copia sombra del volumen);
• ntdsutil.exe;
• secretdump.py;
• Invoke-NinjaCopy .
Archivos de preferencias de directiva de grupo (GPP)GPP o Preferencias de política de grupo son archivos XML que describen diversas configuraciones de políticas de dominio, por ejemplo, conectando una unidad de red en el contexto de una cuenta específica o preestableciendo cuentas locales en sistemas de dominio. Dichos archivos pueden contener credenciales. Las políticas de grupo se almacenan en el controlador de dominio SYSVOL, por lo que cualquier usuario puede leer los archivos GPP e intentar descifrar las contraseñas contenidas en ellos mediante sl. herramientas:
• Metasploit (post / windows / collect / credentials / gpp);
• Get-GPPPassword;
• gpprefdecrypt.py.Para identificar todos los archivos XML en el recurso SYSVOL, puede usar el comando:
dir /s *.xml .
Nombres principales de servicio (SPN)ver técnica de KerberoastingCredenciales de texto sin formatoUna vez que el usuario ha iniciado sesión, se generan muchas credenciales, que se almacenan en la memoria del proceso del Servicio de subsistema de autoridad local (LSASS). Estas credenciales pueden ser recopiladas por el administrador o el sistema.
SSPI (Interfaz de proveedor de soporte de seguridad) proporciona una interfaz común para varios proveedores de soporte de seguridad (SSP). SSP: módulos de programa (DLL) que contienen uno o más esquemas de autenticación y criptografía que se cargan en el proceso LSASS al inicio del sistema.
Algunos SSP se pueden usar para obtener credenciales:
• Msv: inicio de sesión interactivo, inicie sesión como un inicio de sesión por lotes, por ejemplo, inicie tareas del servicio del planificador de trabajos, inicie sesión como un servicio a través del paquete de autenticación MSV;
• Wdigest: el protocolo de autenticación implícita está diseñado para la autenticación de red mediante HTTP y SASL (capa de seguridad de autenticación simple);
• Kerberos: proporciona autenticación de dominio en Windows 2000 y versiones posteriores;
• CredSSP: SSO (inicio de sesión único: el inicio de sesión único permite a los usuarios autenticarse una vez y acceder a los recursos sin ingresar credenciales) y la autenticación de nivel de red (utilizada para la autenticación en los servicios de escritorio remoto).
Herramientas de credenciales:
•
Editor de credenciales de Windows;
• Mimikatz.Se puede guardar un volcado del proceso LSASS para su posterior análisis en otro sistema.
El siguiente comando se ejecuta en el host de destino:
procdump -ma lsass.exe lsass_dumpA continuación, otro sistema inicia Mimikatz:
securlsa::Minidump lsassdump.dmp
sekurelsa::logonPasswords securlsa::Minidump lsassdump.dmp
sekurelsa::logonPasswords .
DCSyncDCSync es una forma de volcar las credenciales de un controlador de dominio. Al abusar de la API del controlador de dominio en lugar de utilizar código malicioso que se puede identificar, un atacante puede simular el proceso de replicación desde un controlador de dominio remoto. Los miembros de Administradores, Administradores de dominio, Administradores de empresa o cuentas de computadora pueden ejecutar DCSync para recuperar información de contraseña de AD, que puede incluir hashes de cuentas de dominio como KRBTGT (Cuenta de servicio del Centro de distribución de claves utilizada en Windows 2000 para ejecutar el Centro de distribución de claves) y administrador. Los hash se pueden usar para crear un Golden Ticket y realizar un ataque Pass the Ticket o cambiar una contraseña como parte de la Manipulación de cuenta. La funcionalidad DCSync está incluida en el módulo lsadump, que es parte de Mimikatz. Lsadump también admite NetSync para la replicación sobre el protocolo heredado.
Linux
Proceso del sistema de archivosProc es un sistema de archivos especial en sistemas operativos tipo Unix, que presenta información sobre los procesos y otra información del sistema en forma de una estructura jerárquica de pseudoarchivos (los archivos no existen en el disco, sino en la RAM), que actúa como una interfaz para interactuar con el espacio del núcleo del sistema operativo. Los procesos que se ejecutan como root pueden borrar la memoria de otros programas en ejecución. Si el programa almacena contraseñas en la memoria abierta o en forma de hash en su memoria, estos valores se pueden extraer de \ Proc para su uso posterior o para intentar recuperar una contraseña del hash. Gnome Keyring, sshd y Apache usan memoria para almacenar estos "artefactos" de autenticación. La funcionalidad anterior se implementa en una herramienta de código abierto: MimiPenguin, que descarga la memoria del proceso y luego busca contraseñas y hashes en cadenas de texto y plantillas de expresiones regulares.
Recomendaciones de protección:VentanasIntente rastrear el acceso a LSASS y SAM mediante herramientas permitidas en el sistema protegido. Limite los derechos de las cuentas en varios sistemas y segmentos de red para evitar que el atacante se mueva en una red protegida en caso de obtener contraseñas y hashes. Asegúrese de que las credenciales de administrador local tengan contraseñas complejas y únicas en todos los sistemas y segmentos de red. No coloque cuentas de administrador de usuario o dominio en grupos de administradores locales en diferentes sistemas, como Esto equivale al hecho de que todos los administradores tienen la misma contraseña. Siga
las mejores prácticas de Microsoft para desarrollar y administrar su red corporativa . En Windows 8.1 y Windows Server 2012 R2, habilite la protección de proceso Protected Process Light (LSA).
Identifique y bloquee software potencialmente peligroso y malicioso que se puede utilizar para obtener volcados de credenciales.
Windows 10 utiliza un nuevo mecanismo para proteger los secretos de LSA: Credential Guard en Windows Defender. Con su aparición, el proceso LSA no almacena datos privados en la memoria, sino que interactúa con un nuevo componente, un proceso aislado, que es responsable de almacenar y proteger los secretos LSA. Los datos almacenados en un proceso aislado están protegidos por virtualización y no están disponibles para el resto del sistema operativo. Una LSA interactúa con un proceso aislado mediante llamadas a procedimiento remoto (RPC). Credential Guard no está configurado de manera predeterminada y tiene requisitos de hardware y software. Sin embargo, tampoco es una protección absoluta contra todas las formas de dumping de credenciales.
Controlar el directorio de replicación Cambia el acceso y otros permisos de replicación del controlador de dominio. Considere deshabilitar o restringir el tráfico NTLM. Considere monitorear los procesos y argumentos de los comandos de inicio del programa, que pueden ser indicativos de un volcado de credenciales. Por ejemplo, las herramientas de acceso remoto pueden incluir herramientas como Mimikatz o scripts de PowerShell como Invoke-Mimikatz PowerSploit.
Monitoree los registros de replicación del controlador de dominio en busca de replicaciones no planificadas o solicitudes de replicación. También realice un seguimiento del tráfico que contiene solicitudes de replicación de direcciones IP de terceros.
LinuxPara obtener contraseñas y hashes de la memoria, el proceso debe abrir el archivo
/ proc / PID / maps en el sistema, donde
PID es el pid único del proceso. La herramienta de monitoreo AuditD se puede usar para detectar procesos hostiles que abren este archivo y advierten sobre pid, nombre del proceso y otros argumentos del programa monitoreado.
Sistema: Windows, Linux, macOS
Derechos: administrador, sistema, root
Descripción: los atacantes pueden buscar archivos que contienen contraseñas en sistemas de archivos locales y carpetas compartidas remotas. Estos pueden ser archivos creados por los usuarios para almacenar sus propias credenciales, credenciales compartidas de un grupo de personas, archivos de configuración que contienen contraseñas para sistemas o servicios, archivos fuente y archivos binarios que contienen contraseñas.
Usando herramientas de descarga de credenciales, las contraseñas también se pueden extraer de copias de seguridad, imágenes e instantáneas de máquinas virtuales. Además, las contraseñas pueden estar contenidas en los archivos de Configuración de directiva de grupo (GPP) que se almacenan en un controlador de dominio.
Recomendaciones de protección: utilice medidas organizativas para evitar el almacenamiento de contraseñas en archivos. Asegúrese de que los desarrolladores y los administradores del sistema sean conscientes de los riesgos asociados con el almacenamiento de contraseñas en texto claro en los archivos de configuración del software. Controle periódicamente la presencia en su sistema de archivos que contengan contraseñas y su posterior eliminación. Limite el uso compartido de archivos en directorios específicos otorgando permisos solo a los usuarios correctos. Elimine los archivos GPP que contengan configuraciones de directiva de grupo vulnerables.
Sistema: Windows
Derechos: Usuario, Administrador
Descripción: los atacantes pueden buscar credenciales y contraseñas en el registro de Windows que están almacenadas allí para que las utilicen los programas o servicios, a veces las credenciales se almacenan para iniciar sesión automáticamente. Ejemplos de comandos para encontrar información de contraseña:
reg query HKLM /f password /t REG_SZ /s
reg query HKCU /f password /t REG_SZ /sRecomendaciones de seguridad: no almacene credenciales en el registro. Monitoree el registro en busca de credenciales. Si es necesario almacenar credenciales, el software debe garantizar que sus permisos sean limitados para evitar la posibilidad de abuso de estos datos.
Sistema: Windows, Linux, macOS
Derechos: usuario
Descripción: los errores cometidos por los desarrolladores de mecanismos de autenticación y autorización pueden ser la razón de la presencia de vulnerabilidades en el software con la ayuda de los cuales un atacante podría obtener acceso no autorizado a las credenciales. Por ejemplo, el boletín
MS14-068 describe una vulnerabilidad en el protocolo Kerberos, por el cual un atacante podría falsificar tickets Kerberos utilizando los derechos de usuario del dominio. La explotación de vulnerabilidades de credenciales también se puede utilizar para elevar los privilegios.
Recomendaciones de protección: Actualice regularmente el software utilizando el control centralizado de instalación de actualizaciones para estaciones de trabajo y servidores empresariales. Desarrolle e implemente un proceso para identificar y analizar las amenazas cibernéticas en el marco de las cuales se determinarán las amenazas que son relevantes para su empresa. Use sandboxes, herramientas de virtualización y microsegmentación para que sea más difícil para un atacante explotar mediante la explotación de vulnerabilidades. En Windows, las herramientas están disponibles para detectar actividades relacionadas con la explotación de vulnerabilidades, estamos hablando de Windows Defender Exploit Guard (WDEG) y Enchanced Mitigation Experience Toolkit (EMET). Otra forma de evitar la explotación de vulnerabilidades es el uso de herramientas de integridad de flujo de control (CFI). CFI es el nombre general de los métodos destinados a limitar las posibles rutas de ejecución del programa dentro del gráfico de flujo de control previamente predicho. Sin embargo, muchos métodos de protección pueden no funcionar si el malware está diseñado para desviarse de las medidas de protección, también depende de la arquitectura del programa que se analiza y sus archivos binarios.
Sistema: Windows
Derechos: usuario
Descripción: el protocolo de bloqueo de mensajes del servidor (SMB) se usa generalmente para la autenticación y comunicación entre sistemas Windows en el marco de compartir recursos y carpetas de archivos de red. Cuando Windows intenta conectarse al sistema remoto a través de SMB, intenta automáticamente autenticar al usuario y envía las credenciales del usuario actual al sistema remoto, por lo que el usuario no necesita ingresar credenciales para obtener acceso a los recursos de la red, lo cual es típico para el entorno corporativo. En caso de falla de la infraestructura SMB, el protocolo de creación y control de versiones distribuidas web (WebDAV) se puede utilizar como un protocolo de respaldo para compartir recursos, que es una extensión del protocolo HTTP y generalmente funciona a través de los puertos TCP 80 y 443.
Al forzar la autenticación SMB, los atacantes pueden abusar del comportamiento del sistema atacado mientras está conectado al sistema remoto y recibir hash de cuenta. Usando una técnica de phishing, un adversario puede enviar a la víctima un enlace a un recurso externo controlado o colocar un archivo especial en el escritorio o en un recurso público. Cuando el sistema del usuario accede a un recurso no confiable, intentará autenticar y enviar las credenciales hash del usuario actual a través del protocolo SMB al servidor remoto. Después de obtener un hash, un atacante puede realizar una fuerza bruta fuera de línea y obtener credenciales al descubierto o usarlas para ataques Pass-the-Hash.
Considere las formas más populares para forzar la autenticación SMB:
• Un archivo adjunto de phishing que contiene un documento con contenido activo que se descarga automáticamente cuando se abre el documento. El documento puede incluir una solicitud del archivo de tipo [:] // [dirección remota] /Normal.dotm/, que inicia la autenticación SMB.
• Un archivo .lnk o .SCF modificado (archivo de comando del Explorador de Windows) que contiene en las propiedades en lugar de la ruta al icono del archivo, un enlace externo \ [dirección remota] \ pic.png. Por lo tanto, el sistema intentará descargar el icono del archivo y abrir el enlace.
Recomendaciones de protección: Bloquee el tráfico SMB saliente dirigido fuera de la red corporativa filtrando y bloqueando los puertos TCP 139, 445 y UDP 137. Filtre y bloquee la salida del tráfico WebDAV fuera de la red corporativa. Si es necesario acceder a recursos externos a través de SMB y WebDAV, limite las conexiones externas mediante listas blancas.
Sistema: Windows
Derechos: Administrador, Sistema
Descripción: las funciones de la API de Windows generalmente se almacenan en archivos DLL. La técnica de intercepción es redirigir las llamadas a las funciones de la API mediante:
• Los procedimientos de enlace son procedimientos integrados en el sistema operativo que ejecutan código cuando se llaman varios eventos, por ejemplo, pulsaciones de teclas o movimientos del mouse;
• Modificaciones a la tabla de direcciones (IAT), que almacena punteros a funciones API. Esto le permitirá "engañar" a la aplicación atacada, forzándola a iniciar una función maliciosa;
• Cambio directo de función (empalme), durante el cual se cambian los primeros 5 bytes de la función, en lugar de que se inserta una transición a una función maliciosa u otra determinada por el atacante.
Al igual que las inyecciones, los atacantes pueden usar el enganche para ejecutar código malicioso, enmascarar su ejecución, acceder a la memoria del proceso atacado y aumentar los privilegios. Los atacantes pueden capturar llamadas API que incluyen parámetros que contienen datos de autenticación.
El enganche generalmente es utilizado por rootkits para ocultar actividades maliciosas en el sistema.
Recomendaciones de protección: la interceptación de eventos en el sistema operativo es parte del funcionamiento normal del sistema, por lo que cualquier restricción de esta funcionalidad puede afectar negativamente la estabilidad de las aplicaciones legítimas, como el software antivirus. Los esfuerzos para evitar el uso de técnicas de intercepción deben centrarse en las etapas anteriores de la cadena killchain.
Puede detectar actividad de enganche maliciosa al monitorear las llamadas a las funciones SetWindowsHookEx y SetWinEventHook, utilizando detectores de rootkit, analizando el comportamiento anormal de los procesos, por ejemplo, abriendo conexiones de red, leyendo archivos, etc.Sistema: Windows, Linux, macOSDerechos: Administrador,Descripción del sistema : los atacantes pueden utilizar los medios de capturar la entrada del usuario para obtener las credenciales de las cuentas existentes.El registro de teclas es el tipo más común de captura de entrada del usuario, incluidos muchos métodos diferentes de interceptar las pulsaciones de teclas, pero existen otros métodos para obtener información de destino, como llamar a una solicitud de UAC o escribir un shell para el proveedor de credenciales predeterminado (Proveedores de credenciales de Windows). El registro de teclas es la forma más común de robar credenciales cuando el uso de técnicas de descarga de credenciales es ineficiente y el atacante se ve obligado a permanecer pasivo durante un cierto período de tiempo.Para recopilar credenciales de usuario, un atacante también puede establecer códigos en portales corporativos externos, por ejemplo, en la página de inicio de sesión de VPN. Esto es posible después de comprometer el portal o servicio al obtener acceso administrativo legítimo, que a su vez podría organizarse para proporcionar acceso de respaldo en las etapas de obtener acceso inicial y asegurarlo en el sistema.Recomendaciones de protección: garantice la detección y el bloqueo de software potencialmente peligroso y malicioso utilizando herramientas como AppLocker o políticas de restricción de software. Tome medidas para reducir el daño si un atacante obtiene credenciales.Siga las mejores prácticas de Microsoft para desarrollar y administrar una red corporativa (https://docs.microsoft.com/en-us/windows-server/identity/securing-privileged-access/securing-privileged-access-reference-material#a-nameesaebmaesae- enfoque de diseño-bosque-administrativo).Los keyloggers pueden modificar el registro e instalar controladores. Las funciones API más utilizadas son SetWindowsHook, GetKeyState, GetAsyncKeyState. Las llamadas a las funciones API por sí solas no pueden ser indicativas de registro de teclas, pero junto con un análisis de los cambios en el registro, la detección de instalaciones de controladores y la aparición de nuevos archivos en el disco pueden indicar actividad maliciosa. Vigilar la aparición de los proveedores de credenciales de usuario del registro (el proveedor de credenciales personalizado cmdlet):HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers.Sistema: derechos de macOS :Descripción del usuario : cuando se ejecutan programas que requieren la escalada de privilegios, el sistema operativo generalmente le pide al usuario las credenciales apropiadas. Los atacantes pueden imitar esta función para solicitar credenciales utilizando el formulario de solicitud estándar. Se puede llamar a esta forma de solicitar credenciales usando AppleScript: unset thePassword to the text returned of (display dialog "AdobeUpdater needs permission to check for updates. Please authenticate." default answer "")atacante solicitará que se ingresen las credenciales simulando el comportamiento normal del sistema operativo, por ejemplo, un instalador falso o un paquete de eliminación de malware requiere la confirmación de los permisos correspondientes.Recomendaciones de protección:Capacite a los usuarios para que sepan qué programas pueden solicitar permiso y por qué. Configure que las secuencias de comandos de AppleScript se ejecuten para verificar las firmas de desarrollador de confianza.Sistema: Derechos de Windows :Descripción del usuario : Cada instancia de servicio tiene un identificador único: Nombre principal del servicio (SPN), que se utiliza para la autenticación Kerberos. El SPN debe estar asociado con una sola cuenta, el instalador del servicio escribe el SPN en las propiedades de la cuenta en AD.Los atacantes con un ticket de concesión de tickets Kerberos válido (TGT) pueden solicitar uno o más tickets de servicio del servicio de otorgamiento de tickets Kerberos (TGS) para interactuar con cualquier SPN registrado en un controlador de dominio. Los elementos del ticket de servicio se pueden cifrar con RC4, por lo que Kerberos 5 TGS-REP etype 23, que contiene el hash de contraseña de la cuenta asociada con el SPN de destino y se utiliza como una clave privada (ver descripción de Kerberos), es vulnerable y puede ser descifrado por la fuerza bruta. El mismo ataque se puede realizar utilizando tickets de servicio obtenidos del tráfico de red. Después de descifrar el hash recibido, el adversario puede usar una cuenta existente para protegerse en el sistema, escalar privilegios o avanzar más en la red.Recomendaciones de protección: use contraseñas complejas y largas (más de 25 caracteres ideales) para las cuentas de servicio y asegúrese de la frecuencia de su cambio. A partir de Windows Server 2012, la tecnología de Cuentas de servicio administrado de grupo (gMSA) está disponible en el sistema operativo, que está diseñado para cambiar automáticamente la contraseña de las cuentas de servicio (tecnológicas) con la posibilidad de usarlas simultáneamente en varios servidores. Alternativamente, considere usar almacenes de contraseñas de terceros.Limite los derechos de la cuenta proporcionando los privilegios mínimos requeridos; excluya la membresía de la cuenta en grupos privilegiados como los administradores de dominio.Si es posible, habilite el cifrado AES Kerboros u otro algoritmo de cifrado más fuerte, eliminando el uso de RC4.Habilite la auditoría de operaciones de tickets de servicio de Kerberos para registrar las solicitudes de tickets de servicio de Kerberos TGS. Investigue patrones de actividad anormales, como los eventos de ID de evento 4769: cuentas que ejecutan numerosas solicitudes en un período corto de tiempo, especialmente si solicitaron el cifrado RC4 (Tipo de cifrado de ticket: 0x17).Sistema: macOSDerechos: rootDescripción: Keychain (inglés "keychain") es el almacenamiento integrado de cuenta y contraseña de macOS para muchos servicios y características, como WiFi, sitios web, notas seguras, certificados y Kerberos. Los archivos de llavero se encuentran en:• ~ / Biblioteca / Llaveros;
• / Biblioteca / Llaveros;
• / Red / Linrary / Llaveros /.La utilidad de consola de seguridad incorporada de manera predeterminada en macOS proporciona una forma conveniente de administrar las credenciales.Para administrar sus credenciales, los usuarios deben usar una cuenta adicional que les proporcione acceso a su llavero. Si el atacante conoce las credenciales del llavero del usuario, puede obtener acceso a todas las demás credenciales almacenadas en los llaveros de este usuario. Por defecto, la cuenta de usuario actual se usa para iniciar sesión en Keychains.Recomendaciones de protección: Desbloquear los llaveros de un usuario y usar contraseñas es un proceso común que las herramientas de detección de malware no pasarán desapercibidas.Sistema: Derechos de Windows :Descripción del usuario : la resolución de nombre de multidifusión local de enlace (LLMNR) y el servicio de nombre NetBIOS (NBT-NS) son protocolos incluidos en todas las versiones de Windows que sirven como una forma alternativa de identificar el host. LLMNR se basa en el formato DNS y resuelve los nombres de red de las computadoras vecinas sin usar DNS. NBT-NS identifica el sistema en la red local por su nombre NetBIOS.Un atacante podría simular una fuente confiable de resolución de nombres que responderá al tráfico LLMNR (UDP5355) / NBT-NS (UDP137) para que la víctima se comunique con el sistema controlado por el enemigo. Si el host solicitado requiere identificación / autenticación, el nombre de usuario y el hash NTLMv2 del usuario actual del host víctima se enviarán al sistema controlado por el adversario. Por lo tanto, un atacante, utilizando un sniffer de red, puede recopilar hashes transmitidos y luego tratar de obtener contraseñas fuera de línea utilizando herramientas de fuerza bruta.Existen varias herramientas que se pueden usar para atacar servicios de nombres en redes locales: NBNSpoof, Metasploit y Responder.Recomendaciones de protección:Considere deshabilitar LLMNR y NBT-NS en la configuración de seguridad del host local o usar la Política de grupo. Utilice las funciones de seguridad local que bloquean el tráfico LLMNR / NBT-NS.Compruebe que LLMNR desactivado en el registro:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient\EnableMulticast=dword:00000000.Si la política de seguridad deshabilita LLMNR / NBT-NS, entonces monitorear el tráfico de los puertos UDP5355 y UDP137 ayudará a detectar el ataque.Sistema: Windows, Linux, macOSDescripción: Un atacante puede usar la interfaz de red en modo promiscuos (modo "inaudible"), en el que la tarjeta de red aceptará todos los paquetes independientemente de a quién se dirijan o usen puertos span (puertos espejo) para capturar Grandes cantidades de datos transmitidos a través de redes cableadas o inalámbricas.Los datos capturados durante el rastreo pueden contener credenciales enviadas a través de conexiones inseguras sin el uso de protocolos de cifrado. Varios ataques a los servicios de nombres de red, como el envenenamiento LLMNR / NBT-NS al redirigir el tráfico, también se pueden usar para recopilar credenciales en sitios web, servidores proxy y sistemas internos.Mientras escucha una red, un adversario también puede revelar diversa información de configuración (servicios en ejecución, números de versión, direcciones IP, nombres de host, ID de VLAN, etc.) necesarios para un mayor movimiento en la red y / o eludir las características de seguridad.Consejos de seguridad: asegúrese de que el tráfico inalámbrico esté encriptado correctamente. Si es posible, use Kerberos, SSL y autenticación multifactor. Monitoree los conmutadores de red para puertos de expansión, envenenamiento ARP / DNS y cambios de configuración de enrutador no autorizados.Use herramientas para identificar y bloquear software potencialmente peligroso que pueda usarse para interceptar y analizar el tráfico de red.Sistema: Derechos de Windows : Administrador,Descripción del sistema : Los filtros de contraseña de Windows son mecanismos para aplicar políticas de contraseña para cuentas de dominio y locales. Los filtros se implementan en forma de archivos DLL que contienen métodos para verificar el cumplimiento de posibles contraseñas con los requisitos de la política de seguridad. Las DLL de filtro de contraseña están alojadas en hosts para cuentas locales y controladores de dominio para cuentas de dominio.Antes de registrar nuevas contraseñas con el Administrador de Cuentas de Seguridad (SAM), el servicio de la Autoridad de Seguridad Local (LSA) solicita una verificación de contraseña con cada filtro de contraseña registrado en el sistema. Cualquier cambio potencial no tendrá efecto, cada filtro no confirmará la validación.Un atacante podría registrar filtros de contraseña maliciosa en un sistema atacado para recopilar credenciales. Para realizar una verificación de complejidad, los filtros reciben contraseñas de texto claro de LSA. Los filtros maliciosos recibirán credenciales en texto claro cada vez que se solicite una contraseña.Recomendaciones de protección: asegúrese de que solo estén registrados filtros de contraseña válidos en su sistema. filtros predeterminados DLL se almacenan en el directorio C: \ Windows \ System32 \ y deben tener una entrada en el registro:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\[Notification Packages].Los filtros de contraseña recién instalados surten efecto después de reiniciar el sistema, aparecen en ejecución automática y se cargan en lsass.exeSistema: Windows, Linux, macOSDerechos: Descripción del usuario : Las claves privadas y los certificados se utilizan para autenticación, cifrado / descifrado y firmas digitales.Un atacante puede recopilar claves secretas en sistemas comprometidos para su uso posterior en la autenticación en servicios de conexión remota como SSH o descifrado de otros archivos recopilados, por ejemplo, archivos de datos de correo electrónico.Los archivos de claves y certificados tienen extensiones como .key, .pgp, .gpg, .ppk, .P12, .pem, .pfx, .cer, p7b, .asc . Un adversario puede buscar archivos en directorios clave, por ejemplo ~ / .ssh en sistemas * nix o C: \ Users (username.ssh) \ en Windows.En el proceso de uso, las claves privadas deben solicitar una contraseña o frase de contraseña, por lo que el enemigo puede usar la técnica de captura de entrada para el registro de teclas en paralelo o tratar de obtener una frase de contraseña fuera de línea.Consejos de seguridad: utilice frases de contraseña complejas para dificultar el descifrado de claves privadas. Almacene claves en medios criptográficos externos siempre que sea posible. Asegúrese de que el acceso a los recursos críticos esté abierto solo a las claves autorizadas y verifique regularmente las listas de acceso.Asegúrese de que los permisos en las carpetas que contienen las claves privadas son correctos. Use una infraestructura aislada para administrar sistemas críticos para evitar conflictos entre cuentas y permisos que pueden usarse para moverse por la red. Siga las pautas para protegerse contra el mal uso de las cuentas existentes.Supervise el acceso a los archivos y directorios asociados con claves y certificados criptográficos, y audite los registros de autenticación para identificar acciones anormales que indiquen el uso indebido de claves o certificados para la autenticación remota.Sistema: macOSDerechos: rootDescripción: en OS X anterior a EL Capitan, los usuarios con privilegios de root pueden leer las contraseñas de los usuarios conectados desde texto sin formato en Keychain. Esto se debe al hecho de que, para la comodidad de los usuarios, Apple permite que el sistema guarde en caché las credenciales para no solicitar a los usuarios que vuelvan a ingresarlas cuando sea necesario.Las contraseñas almacenadas en el grupo Keychain se encriptan varias veces utilizando un conjunto de claves. Las claves, a su vez, se cifran con otras claves almacenadas en el mismo archivo, como una muñeca rusa anidada. Una clave maestra que puede abrir una muñeca de anidación externa y en cascada el descifrado de la próxima muñeca de anidación es algo más que la contraseña encriptada usando PBKDF2 con la que el usuario está conectado. Por lo tanto, para leer la primera contraseña en una cadena de contraseña de usuario, necesita su contraseña para ingresar o una clave maestra. Las operaciones de llavero son procesadas por el proceso de seguridad; para esto, una clave maestra se almacena en su memoria.El nombre de usuario raíz, un atacante puede escanear la memoria para buscar claves de cifrado de la cadena del llavero, descifrando gradualmente toda la secuencia de contraseñas de usuario, WiFi, correo, navegadores, certificados, etc.Sistema: Windows, Linux, macOSDerechos: Administrador, Sistema, raízDescripción: El uso de la autenticación de dos factores y de múltiples factores proporciona un mayor nivel de seguridad que un enlace de inicio de sesión / contraseña, pero las organizaciones deben conocer los métodos para interceptar y eludir estos mecanismos de seguridad.Los atacantes pueden usar a propósito mecanismos de autenticación como tarjetas inteligentes para obtener acceso al sistema, servicios y recursos de red.Si usa una tarjeta inteligente para la autenticación de dos factores (2FA), necesitará un registrador de teclas para obtener la contraseña asociada con la tarjeta inteligente durante el uso normal. Con una tarjeta inteligente insertada y una contraseña para acceder a una tarjeta inteligente, un adversario puede conectarse a un recurso de red usando un sistema infectado para autenticar el proxy usando el token de hardware insertado.Los atacantes también pueden apuntar a un keylogger para atacar de manera similar otros tokens de hardware, como RSA SecurID. La captura de una entrada de token (incluido el código de identificación personal del usuario) puede proporcionar al adversario acceso temporal durante la duración de la contraseña de un solo uso y posiblemente le permita calcular valores futuros de contraseñas de un solo uso (conociendo el algoritmo y el valor inicial para generar contraseñas temporales posteriores).Otros métodos 2FA también pueden ser interceptados y utilizados por un adversario para la autenticación no autorizada. Por lo general, los códigos únicos se envían a través de canales de comunicación fuera de banda (SMS, correo electrónico, etc.). Si el dispositivo y / o el servicio no están protegidos, pueden ser vulnerables a la intercepción.Recomendaciones de protección:Asegure la extracción de la tarjeta inteligente cuando no esté en uso. Proteja los dispositivos y servicios utilizados para enviar y recibir códigos fuera de banda. Identifique y bloquee software potencialmente peligroso y malicioso que se puede utilizar para interceptar credenciales en 2FA.