Indicadores de ataque
| Nombre | Descripción | Gravedad |
|---|---|---|
| DCShadow | DCShadow es otro ataque kill chain de fase avanzada que permite a un atacante que tiene credenciales con privilegios registrar un controlador de dominio fraudulento para provocar cambios arbitrarios en un dominio a través de la replicación del dominio (por ejemplo, la aplicación de valores de sidHistory prohibidos). | critical |
| Enumeración de Administradores locales | El grupo Administradores locales se enumeró con la interfaz de RPC de SAMR, probablemente con BloodHound/SharpHound. | low |
| Explotación de Zerologon | La vulnerabilidad llamada Zerologon se relaciona con una vulnerabilidad crítica (CVE-2020-1472) en Windows Server, a la que Microsoft otorgó una puntuación de CVSS de 10,0. Consiste en una elevación de privilegios que se da cuando un atacante establece una conexión del canal seguro de Netlogon vulnerable con un controlador de dominio, mediante el protocolo remoto de Netlogon (MS-NRPC). Esta vulnerabilidad permite a los atacantes poner en peligro un dominio y adquirir privilegios de administrador de dominios. | critical |
| Cambio sospechoso de contraseña de controlador de dominio | La CVE-2020-1472 crítica denominada Zerologon es un ataque que se aprovecha de un error de criptografía en el protocolo de Netlogon, lo que permite que un atacante suplante cualquier equipo y establezca un canal de Netlogon seguro con un controlador de dominio. Desde allí, pueden usarse varias técnicas posteriores a la explotación con el fin de lograr el escalamiento de privilegios, como el cambio de contraseña de la cuenta del controlador de dominio, la autenticación forzada, ataques DCSync y otros. El exploit ZeroLogon suele confundirse con las actividades posteriores a la explotación que usan la autenticación de Netlogon real falsificada (que se trata en el indicador de ataque “Explotación de Zerologon”). Este indicador se centra en una de las actividades posteriores a la explotación que pueden usarse junto con la vulnerabilidad Netlogon: la modificación de la contraseña de la cuenta de máquina del controlador de dominio. | critical |
| Volcado de credenciales del sistema operativo: memoria de LSASS | Después de que un usuario inicia sesión, los atacantes pueden intentar acceder al material de credenciales almacenado en la memoria de proceso del Servicio de subsistema de autoridad de seguridad local (LSASS). | critical |
| Suplantación de identidad de SAMAccountName | La CVE-2021-42287 crítica puede llevar a una elevación de privilegios en el dominio a partir de una cuenta estándar. El error surge de un mal manejo de las solicitudes destinadas a un objeto con un atributo sAMAccountName inexistente. El controlador de dominio agrega automáticamente un signo de dólar ($) final al valor de sAMAccountName si no encuentra uno, lo que puede conducir a la suplantación de identidad de una cuenta de equipo objetivo. | critical |
| Difusión de contraseña | La difusión de contraseña es un ataque que intenta acceder a una gran cantidad de cuentas (nombres de usuario) con unas pocas contraseñas que se usan habitualmente; a veces también se conoce como método “bajo y lento”. | medium |
| Extracción de NTDS | El filtrado de NTDS hace referencia a la técnica que usan los atacantes para recuperar la base de datos NTDS.dit. Este archivo almacena secretos de Active Directory como hashes de contraseñas y claves de Kerberos. Una vez que el atacante accede, analiza una copia de este archivo sin conexión, lo que brinda una alternativa a los ataques de DCSync para la recuperación del contenido sensible de Active Directory. | critical |
| PetitPotam | La herramienta PetitPotam puede usarse para forzar la autenticación de la máquina objetivo en un sistema remoto, en general para llevar a cabo ataques de retransmisión de NTLM. Si PetitPotam tiene como objetivo un controlador de dominio, un atacante puede autenticarse en otra máquina de la red que retransmite la autenticación del controlador de dominio. | critical |
| Extracción de claves de copia de seguridad de dominio de DPAPI | Las claves de copia de seguridad de dominio de DPAPI son parte fundamental de la recuperación de secretos de DPAPI. Diversas herramientas de ataque se centran en extraer estas claves de los controladores de dominio mediante llamadas RPC a LSA. Microsoft reconoce que no existe ningún método admitido para rotar o cambiar estas claves. Por lo tanto, si las claves de copia de seguridad de DPAPI para el dominio se ponen en peligro, se recomienda crear un dominio totalmente nuevo desde cero, lo que conlleva una operación costosa y prolongada. | critical |
| Kerberoasting sin autenticar | Kerberoasting es un tipo de ataque que tiene como objetivo las credenciales de cuentas de servicio de Active Directory para descifrar contraseñas sin conexión. Este ataque busca acceder a las cuentas de servicio mediante la solicitud de tickets de servicio y, luego, el descifrado sin conexión de las credenciales de las cuentas de servicio. El método de Kerberoasting clásico se trata en el indicador de ataque | medium |
| DCSync | El comando DCSync en Mimikatz permite que un atacante simule un controlador de dominio y recupere los hashes de contraseñas y las claves de cifrado de otros controladores de dominio sin ejecutar ningún código en el objetivo. | critical |
| Reconocimiento masivo de equipos | Un enorme número de solicitudes de autenticación en varios equipos, mediante los protocolos NTLM o Kerberos y provenientes del mismo origen, puede ser indicio de un ataque, probablemente con BloodHound/SharpHound. | low |
| Adivinación de contraseña | Un ataque de fuerza bruta de adivinación de contraseña consiste en el envío y la comprobación de todas las contraseñas y frases de contraseña posibles hasta encontrar la correcta. | medium |
| Explotación de DnsAdmins | La explotación de DNSAdmins es un ataque que permite que los miembros del grupo DNSAdmins asuman el control de un controlador de dominio que ejecuta el servicio DNS de Microsoft. Un miembro del grupo DNSAdmins tiene los derechos para llevar a cabo tareas administrativas en el servicio DNS de Active Directory. Los atacantes pueden aprovecharse de estos derechos para ejecutar código malintencionado en un contexto de privilegios altos. | high |
| Kerberoasting | Kerberoasting es un tipo de ataque que tiene como objetivo las credenciales de cuentas de servicio de Active Directory para descifrar contraseñas sin conexión. Este ataque busca acceder a las cuentas de servicio mediante la solicitud de tickets de servicio y, luego, el descifrado sin conexión de las credenciales de las cuentas de servicio. El indicador de ataque Kerberoasting exige la activación de la característica de cuentas honey de Tenable Identity Exposure para enviar una alerta cuando hay un intento de inicio de sesión en la cuenta honey o si esta cuenta recibe una solicitud de un ticket. | medium |
| Golden Ticket | Un ataque Golden Ticket asume el control de una cuenta de servicio de distribución de claves (KRBTGT) de Active Directory y usa esa cuenta para crear tickets de concesión de tickets (TGTs) de Kerberos válidos. | critical |