Técnicas de Hacking Avanzado (PARA LA PROTECCIÓN DE TU DOMINIO TECNOLÓGICO) – Parte 1

Tecnicas de hacking avanzado

Esta vez analizaremos un concepto muy poco conocido que nos dirá mucho sobre los técnicas de hacking avanzado. Entenderemos de una vez por todas la razón por la cual los atacantes siguen teniendo éxito sin importar que tipo de antivirus, cortafuego, y/o política de prevención tengas en tu entorno tecnólogo empresarial.

El término que analizaremos es: “LIVING OFF THE LAND” y es una muy parte importante de la tecnicas de hacking avanzado utilizadas; se podria decir que es la tecnica de moda en estos dias. Este termino se refiere a un conjunto de técnicas de enumeración y explotación que utilizan herramientas nativas preinstaladas en tu computador. Los hackers hacen uso de estas técnicas de hacking avanzado con el fin de explotar el sistema y no llamar la atención de los antivirus y firewalls.

Puede que no sea tan obvio, pero hay más de 100 herramientas del sistema Windows que pueden ser utilizadas por los atacantes para ejecutar estas tecnicas de hacking avanzado con fines nefastos y créeme, ya están instaladas en tu computador y/o servidor.

Además de permitir que los atacantes operen sigilosamente, las técnicas “LIVING OFF THE LAND” hacen que sea extremadamente difícil determinar quién está detrás de la actividad maliciosa. Si un ataque se lleva a cabo utilizando técnicas “LIVING OFF THE LAND”, es mucho más difícil determinar si tu red ha sido vulnerada.

Ahora, un pequeño análisis a algunas herramientas “LIVING OFF THE LAND” que serán utilizadas por los hackers si que llegan a tener un acceso no autorizado a tu sistema tecnológico empresarial:

Técnicas de Hacking Avanzado – Herramientas

PowerShell: Con PowerShell, los atacantes pueden recopilar sigilosamente datos internos de los controladores de dominio, computadores y usuarios con el fin de explotarlos y moverse en forma lateral en el dominio. Un punto clave sobre PowerShell es que todos los scripts, archivos .bat o procedimientos antiguos que se ejecutaban enc md.exe aún funcionan en la consola de PowerShell.

Técnicas de Hacking Avanzado

CMD: La herramienta del símbolo del sistema de Windows le permite al atacante enumerar el sistema sin dejar mucho rastro, especialmente cuando el administrador de sistemas no configuro los logs de auditoria en el controlador de dominio 😊.

WMI: La infraestructura de administración de Windows (WMI) es la implementación de los estándares WBEM y CIM en el sistema operativo Windows, y permite a los usuarios, administradores y desarrolladores (así como a los atacantes) enumerar, manipular e interactuar con varios componentes administrados en el sistema.

En la práctica, WMI proporciona un modelo orientado a objetos unificado y abstracto, que contiene clases que representan muchos elementos discretos de una máquina, sin necesidad de interactuar directamente. WMI es la herramienta que ejecuta las artes mágicas en los sistemas Windows. 😊

mshta.exe: Herramienta que permite descargar archivos infectados desde Internet sin tener que ocupar un browser.

certutil.exe: Permite encriptar data y sacarla del sistema para luego restaurarla en el laboratorio.

msiexec.exe: Es una utilidad de Microsoft que se puede utilizar para instalar o configurar un software desde la línea de comandos. Si un entorno no está configurado correctamente, el uso de archivos MSI puede permitirle a un atacante realizar una escalada de privilegios o eludir las reglas de AppLocker.

bitsadmin.exe: Otra herramienta que permite descargar archivos infectados desde Internet sin tener que ocupar un browser.

schtasks.exe: De Seguro que más de un hacker ha utilizado esta herramienta para crear persistencia en algún dominio vulnerable.

¿Cómo Seguridad-Ofensiva puede ayudarme a mantener mi dominio libre de vulnerabilidades internas?

En Seguridad-Ofensiva hemos prestado atención a la situación real de los dominios. Entendemos que muchas veces los administradores de dominio no tienen tiempo para dedicarse al estudio y la búsqueda de vulnerabilidades tan peligrosas como esta porque están ocupados dando soporte a los empleados, creando nuevos usuarios o reemplazando computadores.

Si ese es el caso de su departamento de tecnología, lo invitamos a que nos contacte para que de esta forma podamos contarle de nuestros procedimientos NO INVASIVOS.

Nuestra intención es darle una solución real a las vulnerabilidades internas a las cuales los antivirus no pueden identificar. Sírvase contactarnos a [email protected]

Si desea conocer más de nuestros servicios especializados en la prevención de vulnerabilidades en redes internas, lo invitamos a visitar: https://seguridad-ofensiva.com/pruebas-de-penetracion-internas

Referencias: https://attack.mitre.org/matrices/enterprise/windows/

MITRE ATT&CK®

Estamos aquí para evaluar e incrementar la seguridad de su entorno tecnológico.

Leave a Reply

Your email address will not be published. Required fields are marked *