Contenido de Detección para Abordar Técnicas de Atacantes Cubiertas en la Investigación “Dominio de Tronos: Parte I”
Tabla de contenidos:
Las fuerzas ofensivas buscan continuamente nuevas formas de acceder al entorno del dominio y mantener su presencia aprovechando múltiples vectores de ataque y experimentando con diversas herramientas y técnicas del adversario. Por ejemplo, pueden aprovechar las fallas de seguridad reveladas, como en el caso de los intentos del adversario de explotar la vulnerabilidad en Microsoft Windows AD a mediados de primavera de 2023, lo que podría llevar a ataques de escalamiento de privilegios.
Este artículo basado en la investigación de Nico Shyne y Josh Prager ofrece información sobre las TTP del atacante utilizadas para obtener y mantener acceso dentro de un entorno de dominio, como el robo de credenciales en el controlador de dominio, la sincronización de configuraciones de Active Directory (AD), la manipulación del protocolo de autenticación Kerberos y la explotación de certificados. Para ayudar a los defensores a frustrar ataques relacionados, compartimos con colegas de la industria una lista de contenido relevante de detección de la Plataforma SOC Prime.
Detectando TTPs de Adversarios Descritos en la Serie “Domain of Thrones: Parte I”
Los adversarios buscan constantemente nuevas formas de infiltrarse de manera encubierta y mantener la persistencia dentro de la red organizacional. Con la persistencia en el dominio destacándose como un objetivo atractivo, los actores de amenazas utilizan múltiples técnicas de abuso de Kerberos para lograr objetivos maliciosos. Los defensores cibernéticos deben estar atentos a los métodos de ataque en evolución para identificar y prevenir intrusiones de manera proactiva en las etapas más tempranas.
Para ayudar a los profesionales de seguridad a mantenerse al tanto de los ataques de persistencia en el dominio, la Plataforma SOC Prime ofrece un conjunto dedicado de reglas de detección que abordan específicamente las principales técnicas de ataque, como el robo de credenciales en los controladores de dominio, manipulaciones del protocolo Kerberos o abuso de Active Directory.
Todas las detecciones son compatibles con 28 soluciones SIEM, EDR, XDR y Data Lake y están mapeadas al marco ATT&CK de MITRE para agilizar la investigación de amenazas y reducir el tiempo en la traducción de consultas multiplataforma. Además, cada elemento de detección está acompañado de metadatos extensos, incluidos enlaces CTI, referencias ATT&CK, configuración de auditoría, contexto de falsos positivos y recomendaciones de triaje disponibles a través de Uncoder AI.
Presiona el botón Explorar Detecciones a continuación y profundiza en un conjunto de reglas Sigma seleccionadas para agilizar tus operaciones de caza de amenazas.
Descripción General de las Técnicas del Atacante en “Domain of Thrones: Parte I”
Con los atacantes buscando continuamente formas de acceder y ganar persistencia en el entorno del dominio objetivo, los defensores se concentran principalmente en los medios del acceso inicial del adversario. Sin embargo, pueden pasar por alto el estado del dominio después de la brecha que necesita medidas de remediación inmediatas. Debido a un número creciente de operaciones ofensivas que comprometen los entornos de dominio, los defensores están preocupados por formas de recuperar el control sobre el dominio afectado, restaurar la confianza y asegurarse de que la eficiencia operativa se mantenga intacta.
Múltiples colectivos de piratería respaldados por naciones como FIN6, NICKEL o Emissary Panda también conocido como APT27 han puesto sus ojos en activos críticos de Active Directory, como el archivo NTDS.dit, la cuenta de servicio KRBTGT o los certificados AD, obteniendo acceso inicial a través de phishing o explotación de vulnerabilidades. Normalmente aplican tanto herramientas estándar como personalizadas para obtener acceso al dominio aprovechando privilegios elevados. Después de confirmar una brecha, el enfoque de los defensores debe estar en bloquear el acceso y rotar los secretos del dominio para prevenir un mayor compromiso, mientras que se espera que los ingenieros de detección prioricen la identificación de signos de persistencia en el dominio.
Los adversarios están equipados con una amplia gama de técnicas de persistencia en el dominio para comprometer el entorno objetivo. Por ejemplo, los atacantes con niveles de acceso de administrador pueden participar en el robo de credenciales utilizando aplicaciones para obtener acceso al proceso LSASS.exe. Al aprovechar estas credenciales adquiridas ilícitamente, los actores de amenazas pueden modificar su contexto de ejecución, lo que les permite alcanzar recursos críticos y llevar a cabo acciones que pueden afectar seriamente la continuidad del negocio de una organización. Por ejemplo, pueden aplicar LOLbinsnativas de Windows, como el Administrador de Tareas para obtener acceso a LSASS.exe con los permisos requeridos y leer la memoria virtual de este proceso. Los hackers también pueden apuntar al archivo NTDS.dit de las organizaciones con el objetivo de obtener acceso o duplicar el archivo de base de datos en un esfuerzo por recopilar las credenciales necesarias.
Los actores maliciosos también pueden aprovechar la técnica del ticket dorado mediante la manipulación del protocolo Kerberos para eludir la detección y mantener la persistencia en el entorno del dominio comprometido. El protocolo de autenticación Kerberos se basa en solicitudes de tickets y concesiones para verificar a los usuarios para recursos remotos. La contraseña de la cuenta de servicio KRBTGT crea una clave criptográfica, que es utilizada por el KDC para firmar y encriptar tickets de concesión de tickets (TGTs) presentados para acceder a recursos remotos. Los atacantes pueden aplicar este TGT falso para autenticar. Como alternativa, pueden aprovechar la técnica del ticket de diamante teniendo la opción de manipular un TGT emitido legítimamente desde el controlador de dominio, en lugar de crear el suyo. En cuanto a las técnicas de abuso de certificados, los hackers pueden obtener claves privadas de la Autoridad de Certificación (CA) y producir certificados fraudulentos firmados usando la clave robada.
Los ataques de persistencia en el dominio y las técnicas relacionadas del adversario están evolucionando continuamente, lo que anima a los defensores a mantener el pulso en las tendencias ofensivas emergentes mientras se mantienen al tanto de las herramientas y soluciones que potencian las capacidades de defensa cibernética dentro del dominio. Aproveche al máximo el Marketplace de Detección de Amenazas de SOC Prime para estar siempre un paso adelante y defender proactivamente el entorno de dominio de su organización con contenido de detección seleccionado enriquecido con metadatos procesables y continuamente actualizado.
