Llévame a tu controlador de dominio: cómo los atacantes se mueven lateralmente a través de tu entorno

Dan Gould también contribuyó a esta publicación.

En la primera parte de esta serie de blogs, vimos diferentes formas en que un actor de amenazas puede llevar a cabo la fase Discovery del marco ATT&CK para obtener un terreno después de una infección inicial. Esto les proporciona información importante sobre la red y el dominio, incluso con privilegios de dominio estándar. También observamos algunos de los componentes utilizados por un controlador de dominio que pueden ser atacados directamente o aprovechados como parte de un ataque.

Aquí, vamos a profundizar sobre esto para mostrar ejemplos de ataques y herramientas que se pueden usar contra estos componentes para ejecutar la siguiente fase de un ataque: movimiento lateral.

Armado con esta información útil, como las mostradas en el post anterior en la fase de descubrimiento, el actor de amenazas ahora puede intentar con confianza el movimiento lateral en la ruta al controlador de dominio. No obstante, necesitarán las credenciales necesarias, sistemas de destino intermedios e información de componentes, combinada con las herramientas de ataque correspondientes, para alcanzar su objetivo final.

ATT&CK: Movimiento Lateral

El movimiento lateral, especialmente en un dominio Windows, puede ocurrir en dos niveles. Primero el nivel de aplicación, donde el atacante puede usar técnicas basadas en credenciales como pass-the-hash o pass-the-ticket, que a su vez aprovecha el nivel de red donde realmente se mueve de una máquina a otra en el camino hacia el destino final, que en este caso es el controlador de dominio.

Esto nos lleva a las técnicas basadas en credenciales.

Técnicas basadas en credenciales para el movimiento lateral

Sin duda, una vez descubiertas las credenciales de administrador del dominio, el controlador de dominio suele estar a una línea de comandos de distancia.

Los atacantes buscan volcar las credenciales almacenadas en caché en ubicaciones comunes, como el Servicio de Subsistema de la Autoridad de Seguridad Local (LSASS), que se utilizan para autenticar usuarios, inicios de sesión y permisos en Windows. ¿Por qué se guardan en la memoria las credenciales (contraseñas/tickets con hash)? Para el inicio de sesión único, es para que los usuarios no tengan que volver a autenticarse todo el tiempo.

Si los atacantes están de suerte, comprometen un sistema que tiene inicios de sesión de administrador anteriores que permanecen en la memoria. Esas credenciales de inicio de sesión se pueden obtener con Mimikatz o herramientas similares de sondeo de memoria LSASS. Como ya sabe, Mimikatz y herramientas similares permiten a los actores de amenazas encontrar y extraer credenciales de autenticación como hashes NTLM e información de tickets Kerberos de la memoria del kernel de una computadora en ejecución utilizada por LSASS.

El siguiente ejemplo muestra el dumping de credenciales usando Mimikatz.

En la mayoría de los casos, la cuenta inicialmente comprometida solo necesita ser una cuenta de administrador local en la máquina Windows para poder ejecutar con éxito herramientas como Mimikatz. Esto significa que tendrá los privilegios necesarios, como el privilegio de depuración de Windows, para leer kernel o memoria privilegiada para ciertos procesos cruciales de Windows como LSASS. Como se mencionó anteriormente, los dominios de Windows dependen en gran medida de la capacidad de inicio de sesión único para ofrecer una experiencia casi perfecta para los usuarios y las máquinas que solicitan recursos en todo el dominio. Para facilitar esto fácilmente, Windows ha estado usando la capacidad de almacenar credenciales hash en la memoria y para las versiones anteriores, contraseñas de texto plano en la memoria. Esta es una de las principales formas en que herramientas como Mimikatz son capaces de recuperar hashes NTLM y, en algunos casos, contraseñas de texto plano para técnicas como ataques pass-the-hash y pass-the-ticket.

Así es como se ve el vertido de boletos Kerberos de la memoria:

Otra herramienta que se puede utilizar para ataques relacionados con tickets Kerberos es Rubeus. Tiene capacidades como solicitudes de tickets Kerberos, que recuperan un Ticket-Granting-Ticket (TGT) basado en la contraseña/hash de un usuario en una instancia o en función del almacén de certificados de un usuario. Rubeus también se puede usar para abusar de la delegación restringida en dominios de Windows mediante la realización de una delegación restringida de Servicio para Usuario (S4U) dentro de un dominio específico o incluso entre dominios en un Bosque.

En el siguiente ejemplo, podemos ver que el actor de amenazas es capaz de volcar la información hash de credenciales de la memoria y localizar un nombre de cuenta específico identificado como una cuenta de administrador. Esta cuenta estará presente porque en algún momento se habría conectado a esa máquina.

Este volcado específico también incluirá información como el servidor de inicio de sesión en el dominio. Esto se puede corroborar con la información recopilada durante la fase de descubrimiento para confirmar el controlador de dominio de destino.

En el siguiente ejemplo, de “itadmin” hash de cuenta NTLM que se vertió anteriormente, hemos podido pasar este hash para lanzar un nuevo proceso cmd de Windows con el token privilegiado de administrador elevado. Esto significa que el nuevo proceso cmd puede realizar acciones en el contexto de una cuenta privilegiada, aunque el usuario que ha iniciado sesión pueda tener derechos de administrador local en la máquina comprometida.

Este nuevo proceso se ejecutará con el token elevado del “itadmin”, lo que significa que podemos usarlo para ejecutar otras herramientas de acceso remoto para apuntar y conectarse al controlador de dominio a través de la red. En la imagen de abajo, podemos ver que después de un ataque pass-the-hash exitoso, una herramienta secundaria como power admin's PaExec se puede utilizar para llevar a cabo el resto del ataque conectándose remotamente al controlador de dominio. El comando hostname en la imagen confirma el movimiento lateral exitoso tanto a nivel de aplicación como de red.

Podemos verificar los servicios en ejecución en la máquina controladora de dominio para verificar que PAexec realizó una conexión con un proceso correspondiente. La técnica de pasar el hash utilizada para generar el token elevado por el administrador en la computadora portátil comprometida, que luego se usó para ejecutar la herramienta de administración remota PAexec, tuvo éxito como se muestra en la imagen a continuación.

Esta es una demostración simple de cómo los atacantes pueden moverse lateralmente, desde el nivel de aplicación (robo de credenciales en la memoria de proceso) hasta el nivel de red (smb, msrpc o http Machine Traversal), para alcanzar el objetivo final: el controlador de dominio.

ATT&CK: Impacto

En este punto, habiendo llegado al controlador de dominio, el atacante está a cargo. Pueden proceder a copiar archivos maliciosos adicionales en el controlador de dominio de forma remota. Por ejemplo, ahora podrían copiar Mimikatz en el controlador de dominio y usarlo para extraer el hash de la cuenta de usuario KRBTGT incorporada, además de otra información de dominio, con el fin de lanzar el ataque Golden Ticket. Esto se puede utilizar para ataques de paso del ticket en todo el dominio.

El atacante puede incluso usar las herramientas ya existentes, viviendo de la tierra para implementar algo como ransomware y conectarse a otros servidores sensibles, como bases de datos o servidores de aplicaciones, para exfiltrar aún más los datos. Esto podría ser PSExec, PowerShell, SCCM, cualquier herramienta de administración de TI que pueda implementar software.

Dependiendo de la sofisticación del ataque, un atacante puede usar todas las herramientas personalizadas o ejecutar código solo en la memoria, por lo que el análisis de firmas de herramientas como Mimikatz se vuelve difícil de detectar y prevenir para cualquier herramienta de seguridad. De manera similar, el análisis del comportamiento también puede requerir muchos recursos, por lo que estas técnicas de análisis pueden estar deshabilitadas, especialmente en entornos de servidores o sistemas operativos heredados que ejecutan aplicaciones críticas heredadas.

Sintoniza nuestro próximo post que examina las mitigaciones para estos ataques.