Una de las armas más poderosas a disposición de un atacante es el uso de herramientas especializadas diseñadas para comprometer la seguridad de la red. Mimikatz, BloodHound y winPEAS son solo algunos ejemplos de herramientas que pueden causar estragos en su entorno si no se detectan a tiempo.
En este artículo, veremos cómo los atacantes pueden explotar herramientas especializadas para lanzar ataques sofisticados. También demostraremos cómo una solución SIEM como ManageEngine Log360 puede detectar la presencia de estas herramientas dentro de su red utilizando reglas de correlación simples y predefinidas.
1. Mimikatz
Mimikatz es una poderosa herramienta de postexplotación, capaz de robar credenciales de sistemas comprometidos. Lo anterior permite a los atacantes moverse lateralmente dentro de una red y escalar sus privilegios. Esta técnica puede provocar importantes violaciones de la seguridad de los datos, accesos no autorizados a sistemas sensibles e interrupciones de las operaciones. Al extraer contraseñas en texto plano, hashes, códigos PIN y tickets Kerberos de la memoria o de archivos SAM/LSAD, Mimikatz proporciona a los atacantes una gran cantidad de información para explotar.
Los atacantes también pueden utilizar Mimikatz para realizar ataques pass-the-hash utilizando hashes robados para autenticarse en otros sistemas sin necesidad de las contraseñas reales. Como si no fuera suficiente, pueden crear tickets Kerberos persistentes. Estos les conceden acceso a largo plazo a sistemas y recursos.
Log360 puede detectar Mimikatz correlacionando eventos dispares con los siguientes criterios de reglas:
∙ Procesos con nombres que contienen mimikatz o términos relacionados
∙ Líneas de comandos que contienen mimikatz o sus argumentos asociados
∙ Procesos con nombres que contienen delpy
∙ Procesos con nombres que contienen gentilkiwi
2. BloodHound
BloodHound es una potente herramienta de visualización de Active Directory (AD) que puede revelar las relaciones entre usuarios, grupos, equipos y servicios. Los atacantes pueden utilizar esta información para identificar posibles rutas de ataque, descubrir cuentas privilegiadas y planificar ataques selectivos. BloodHound también puede utilizarse para moverse lateralmente dentro de la red y obtener acceso a sistemas sensibles.
Log360 puede detectar BloodHound correlacionando eventos dispares con los siguientes criterios de reglas:
∙ Procesos con nombres que contienen bloodhound o términos relacionados.
∙ Una condición busca la presencia del argumento específico –CollectionMethod dentro de la línea de comandos. Este argumento se utiliza con frecuencia con BloodHound para especificar el método de recopilación de información de AD.
∙ Líneas de comando que contienen azurehound. Esto sugiere un intento de recopilar información de Azure AD.
3. PetitPotam
PetitPotam es una herramienta diseñada para los ataques de retransmisión NTLM. Estos aprovechan las vulnerabilidades del protocolo de autenticación NTLM.
Los atacantes utilizan PetitPotam para atacar aplicaciones web redirigiendo el tráfico de autenticación NTLM a un controlador de dominio comprometido, recopilando las credenciales y obteniendo acceso no autorizado. También pueden atacar servicios de red retransmitiendo el tráfico de autenticación NTLM a servicios de red vulnerables, como SMB o RDP, para obtener acceso. También son capaces de realizar ataques pass-the-hash utilizando hashes NTLM robados para autenticarse en otros sistemas sin requerir las contraseñas reales.
Log360 puede detectar PetitPotam correlacionando eventos dispares con los siguientes criterios de reglas:
∙ El uso de pepitpotam en la línea de comandos puede indicar una fuerte posibilidad de una actividad maliciosa ejecutada por atacantes. Lo anterior incluye la autenticación SMB forzada o ataques de retransmisión NTLM.
4. winPEAS
winPEAS es una herramienta de postexplotación que proporciona información exhaustiva del sistema. Lo anterior permite a los atacantes recopilar inteligencia, identificar vulnerabilidades y obtener un mayor acceso.
Los atacantes suelen utilizar winPEAS para recopilar información del sistema. Esto incluye detalles sobre los procesos en ejecución, servicios, usuarios, grupos y conexiones de red. Pueden identificar vulnerabilidades descubriendo software obsoleto, configuraciones débiles y servicios explotables. Con winPEAS, es más fácil localizar las cuentas privilegiadas y las vulnerabilidades que pueden explotarse para obtener acceso de nivel superior. Los atacantes también crean mecanismos para mantener el acceso a un sistema comprometido.
Log360 puede detectar winPEAS correlacionando eventos dispares con los siguientes criterios de reglas:
∙ Procesos con nombres que contienen winpeas o términos relacionados.
∙ Línea de comandos que contiene winpeas.bat. Esta parte de la regla atrapa los intentos de ejecutar winPEAS a través de un archivo por lotes.
∙ Línea de comandos que contiene winpeas.ps1. Esta parte de la regla atrapa los intentos basados en PowerShell de ejecutar winPEAS.
5. Kerbrute
Kerbrute es una herramienta diseñada para crear tickets Kerberos a la fuerza. Al adivinar las contraseñas, los atacantes pueden obtener tickets válidos y acceder sin autorización a los recursos. Pueden realizar ataques pass-the-hash extrayendo hashes NTLM de tickets Kerberos robados y utilizarlos para el movimiento lateral y el escalamiento de privilegios.
Log360 puede detectar Kerbrute correlacionando eventos dispares con los siguientes criterios de reglas:
∙ Líneas de comandos que contienen kerbrute o sus argumentos asociados
Utilizando las reglas de correlación preconfiguradas de Log360, podrá identificar efectivamente amenazas a la seguridad en tiempo real. Explore nuestra completa biblioteca de reglas de correlación para descubrir otras herramientas de ataque y otras categorías de amenazas a la seguridad que puede detectar con Log360.
