La cadena cibernética letal: moverse lateralmente en Active Directory
No se trata de si ocurrirá, sino de cuándo. Cada compañía en este mundo, ya sea grande o pequeña, es susceptible a una violación de datos.
No se trata de si ocurrirá, sino de cuándo. Cada compañía en este mundo, ya sea grande o pequeña, es susceptible a una violación de datos. Dado el número de endpoints que normalmente tiene una organización y la frecuencia con la que los empleados son manipulados por la ingeniería social y los correos electrónicos cargados de malware, los atacantes obtienen una entrada en la red de una empresa fácilmente.
Esto puede suceder incluso si una empresa realiza evaluaciones de riesgos exhaustivas y utiliza dispositivos de protección perimetral como los cortafuegos. La protección del perímetro ha demostrado ser necesaria, pero no del todo suficiente para la defensa. ¿De qué otra manera podemos explicar algunas de las brechas de datos más grandes que las grandes corporaciones han sufrido?
La mayoría de las veces, los ciberdelincuentes entran en una red utilizando malware. Luego, por lo general, comenzarán a compilar una lista de controladores de dominio de destino con información de credenciales o servidores de bases de datos que contienen activos de datos valiosos. A su debido tiempo, desarrollarán un mapa de ataque que detalla un camino claro de excavación más profundo.
Se moverán lateralmente a través de la red usando diferentes técnicas y obteniendo cada vez más acceso privilegiado hasta que accedan a los controladores de dominio de destino. Este movimiento lateral es la parte de la cadena de destrucción cibernética en la que los atacantes son los más vulnerables y expuestos. En esta fase están intentando saltar de una máquina a otra. Entonces, ¿cómo se mueven los ciberdelincuentes lateralmente a través de una red? ¿Qué es exactamente lo que hacen después de entrar? ¿Y qué pueden hacer las empresas para detenerlos?
La anatomía de un ataque.
Hay muchas formas en que un atacante puede moverse a través de una red, es extremadamente importante entender cómo lo hacen. Si bien las herramientas utilizadas para llevar a cabo un ataque pueden ser diferentes, los pasos suelen ser los mismos. Comprender cómo avanza un ataque y entrar en la mente del criminal ayudará a las empresas a defenderse mejor. Otra cosa importante que se debe recordar es que se pueden usar las mismas herramientas que usan los piratas para realizar pruebas de ataque.
Después de obtener un punto de apoyo inicial, lo primero que puede hacer un atacante es un análisis de red. Este escáner les mostrará la lista de hosts activos en la red junto con sus direcciones IP. Luego pueden usar una técnica llamada escaneo de puertos para enviar mensajes a cada puerto en una máquina uno por uno. Si reciben una respuesta, el atacante asumirá que el puerto está en uso y puede decidir probar más puertos en busca de vulnerabilidades. Una exploración de puertos también ayudará al atacante a descubrir qué servicios se ejecutan en qué máquinas. Usando esta información, pueden decidir explotar las vulnerabilidades conocidas de esos servicios.
Lo siguiente que puede hacer el atacante es intentar averiguar la estructura lógica y física del Active Directory (AD) de la empresa. Una de las formas más sencillas de hacerlo es mediante el uso de PowerShell, una herramienta que proporciona el propio Microsoft. PowerShell es un lenguaje de scripts de línea de comandos basado en tareas construido en .NET que permite a los administradores administrar computadoras usando cmdlets (pronunciado "el comando permite").
Dado que el entorno Windows confía en PowerShell, las acciones llevadas a cabo mediante el uso de scripts de PowerShell generalmente no activan ninguna alarma. Usando los cmdlets correctos, un actor de amenazas puede ver a los miembros de los grupos, observar las cuentas de servicio, averiguar las políticas de contraseñas e identificar servidores importantes como controladores de dominio. PowerShell también tiene la flexibilidad de trabajar en conexiones de escritorio remotas, lo que complica aún más el problema. Los atacantes pueden usar herramientas como PowerSploit para hacer que sus ataques sean más sofisticados. Después de toda esta investigación, el atacante sabrá exactamente qué máquinas atacar para comenzar a moverse lateralmente.
Los atacantes también usan herramientas como BloodHound que utilizan la teoría de grafos para revelar relaciones ocultas y, a menudo, involuntarias dentro de los entornos de AD. BloodHound muestra rutas con posibilidad de ataque en su área de dibujo gráfico. Andy Robbins, cofundador de BloodHound, dice: "Un atacante estaría interesado en privilegios efectivos para otros usuarios. BloodHound proporciona esta información sobre cada usuario del dominio. ¿Qué derechos de administrador local y rango de miembro de grupo tiene un usuario en particular?"
La herramienta es lo suficientemente simple para el principiante, pero lo suficientemente versátil para el operador más serio. Si el atacante obtiene acceso a un sistema en el que un usuario es un administrador local y hay sesiones activas en ese sistema, pueden robar las credenciales de esas sesiones activas. Para robar credenciales, los atacantes usan herramientas populares como Mimikatz, que se usa para realizar ataques de paso de hash y de pase de boleto. Usando estas técnicas, pueden pasar de una computadora a la siguiente y, en última instancia, obtener privilegios de administrador de dominio.
¿Cómo pueden defenderse las empresas contra el movimiento lateral?
La correlación del registro de eventos en tiempo real y los sistemas de inteligencia de amenazas aumentadas son fundamentales para evitar que los atacantes se muevan lateralmente a través de una red. Estas herramientas pueden procesar casi 25,000 registros por segundo y detectar ataques en tiempo real. También alertan a los profesionales de la seguridad en el momento en que se detectan ciertas condiciones de riesgo.
Por ejemplo, si hay un número inusualmente alto de errores de inicio de sesión de un usuario en particular, acceso a una unidad organizativa importante o cambios de grupo con privilegios, o se modifican los GPO o los enlaces de GPO, los profesionales de seguridad recibirían instantáneamente una alerta, ya que podrían ser signos de un atacante que intenta adquirir privilegios.
Otro aspecto que juega un papel crítico en la defensa contra el movimiento lateral es el análisis del comportamiento del usuario, o UBA. Las herramientas UBA aplican el aprendizaje automático para crear una línea de base de actividades normales que son específicas para cada usuario y notifican al personal de seguridad cuando hay una desviación de esta norma.
Por ejemplo, un usuario que accede sistemáticamente a un servidor crítico fuera del horario comercial no activará una alerta para esta actividad, porque ese comportamiento es típico de ese usuario. Si intentan acceder a ese servidor durante un tiempo en el que nunca lo habían hecho antes, incluso si se encuentra dentro del horario comercial, esta actividad se considerará inusual y generará una alerta. Una herramienta que sobresale en UBA es Log360 de ManageEngine.
Además de usar las herramientas adecuadas, las empresas deben educar a los usuarios sobre la importancia de la higiene de seguridad. La realización de ejercicios regulares del equipo del equipo rojo-azul es una parte importante de las pruebas de penetración y permitirá que los equipos de seguridad se familiaricen con el uso de algunas de las herramientas anteriores. Todo esto debe ser un esfuerzo coordinado bajo la autoridad de un equipo central de riesgos, quien, a su vez, trabaja bajo la dirección de un oficial principal de riesgos.
Es posible que aún llegue el día en que sea imposible escapar indemne con la ciberdelincuencia, y veremos una caída drástica en los intentos de ciberdelincuencia. Sin embargo, de momento tendremos que seguir enfocando nuestros esfuerzos en combatirlo lo mejor que podamos.
El artículo ha sido escrito por Ram Vaidyanathan, Gerente de Marketing, ManageEngine
