APT: analizamos las técnicas de movimiento lateral

Las técnicas de movimiento lateral son ampliamente utilizadas en ciberataques sofisticados, en particular en Amenazas Persistentes Avanzadas (APT, Advanced Persistent Threats).

El cibercriminal  que aprovecha el poder de una APT, utiliza estas técnicas para acceder a otros hosts desde un sistema comprometido y obtener acceso a recursos confidenciales, como buzones, compartidos carpetas o credenciales.

Estos pueden usarse a su vez para comprometer sistemas adicionales, privilegios escalada, o robar credenciales más valiosas. Este tipo de ataque finalmente puede dar acceder al controlador de dominio y proporcionar control total de una infraestructura basada en Windows o cuentas de operador relacionadas con negocios.

En la actualidad existen directrices para detectar los movimientos laterales que explotan NTLM y Protocolos Kerberos en un entorno basado en Windows Vista / 7 y 2008. Windows 10 presenta muchos mecanismos de seguridad adicionales, y por lo tanto CERT-EU está planeando lanzar un documento técnico sobre detección de un movimiento lateral en Windows 10.

Microsoft publicó una guía importante sobre el robo de credenciales y cómo prevenirlo de manera efectiva.

Debemos tomar en cuenta que este tipo de ataque no solo está vinculado a un ambiente Windows, pero una técnica similar de ataque puede aplicarse a otras infraestructuras, como UNIX con Kerberos o una solución de inicio de sesión único.

Si bien este tomamos en cuenta específicamente técnicas de detección de movimientos laterales en sistemas Windows, también puede ser una inspiración para otros casos, donde exista el registro apropiado.

Como todos sabemos, la técnica del Pass the Hash está en el mercado diría que desde el 2000 o tal vez antes.

¿Qué entendemos por Pass the Hash?

Vallamos al grano para ser claros

No es necesario crackear e intentar averiguar la contraseña que se oculta detrás de un hash conseguido en un sistema Microsoft Windows nominado, si se puede usar el hash directamente para autenticarnos o pasar un proceso de autorización.

La técnica del Pass the Hash permite utilizar dicha información, es decir el hash, para autenticar un usuario a través del protocolo SMB en otra máquina o para conseguir que se autorice el acceso a un recurso en un entorno Active Directory con un proceso de Pass the Ticket