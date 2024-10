La Agencia de Seguridad Nacional de Estados Unidos (NSA), la Agencia de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) y las agencias de ciberseguridad aliadas de la alianza de inteligencia Five Eyes, entre las que se incluyen el Gobierno del Reino Unido, el Centro Canadiense de Ciberseguridad y el Centro Nacional de Ciberseguridad de Nueva Zelanda, han publicado una guía completa para detectar y mitigar las amenazas que atentan contra la seguridad del Active Directory (AD), en la que se destacan 17 técnicas de ataque comunes utilizadas por los adversarios.

Dado el papel fundamental del Directorio Activo en la autenticación y autorización central, es un objetivo atractivo para los atacantes que buscan elevar los privilegios y obtener acceso no autorizado a sistemas críticos y datos confidenciales.

La arquitectura de Active Directory, diseñada como un catálogo central, es inherentemente abierta y accesible para todos los miembros del dominio. Esta apertura esencial hace que el AD sea particularmente vulnerable a los ataques de enumeración, donde los atacantes pueden descubrir cuentas administrativas y sistemas críticos. Este reconocimiento aumenta la tasa de éxito de los ataques, lo que permite a los actores maliciosos apuntar estratégicamente y comprometer los activos organizacionales clave.

De acuerdo con el documento de las agencias, “la susceptibilidad de Active Directory a los ataques se debe, en parte, a que cada usuario del AD tiene los permisos suficientes para identificar y explotar las debilidades. Estos permisos hacen que la superficie de ataque de Active Directory sea excepcionalmente grande y difícil de defender. También contribuye a su vulnerabilidad la complejidad y la opacidad de las relaciones que existen dentro de Active Directory entre los diferentes usuarios y sistemas. A menudo, estas relaciones ocultas, son las que las organizaciones pasan por alto y que los actores maliciosos explotan, a veces de forma trivial, para obtener el control total de la red de TI empresarial de una organización”, se lee en el reporte.

Los atacantes explotan las características fundamentales del AD accediendo inicialmente a cualquier cuenta de dominio, a menudo a través de phishing o robo de credenciales. Una vez dentro, realizan enumeraciones dirigidas para mapear el panorama de la red, identificando cuentas de administrador y sistemas clave. Si se ven comprometidos, esto puede conducir a un control más amplio de la red o violaciones de datos significativas.

Dado que los atacantes obtienen acceso confiable a un punto final y realizan enumeraciones al AD aprovechando esta confianza, las estrategias de seguridad tradicionales basadas en la prevención están demostrando ser inadecuadas para detener al atacante. Por lo tanto, las organizaciones deben ir más allá de la prevención para fortalecer sus capacidades de detección.

A pesar de los esfuerzos por fortalecer los entornos de AD y mitigar las configuraciones incorrectas, la arquitectura central de AD, con su apertura y centralización inherentes, no se puede alterar fundamentalmente. Este aspecto inmutable de la arquitectura del Directorio Activo hará que los atacantes sigan encontrando técnicas para explotar la superficie de ataque presentada por AD.

Los ataques a Active Directory son difíciles de detectar

“Detectar ataques de Active Directory puede ser difícil, requerir mucho tiempo y recursos, incluso para organizaciones con capacidades maduras de gestión de eventos e información de seguridad (SIEM) y centros de operaciones de seguridad (SOC). Esto se debe a que muchos de los ataques al Active Directory explotan funciones legítimas y generan los mismos eventos que se generan con la actividad normal”, dice el reporte.

La guía describe una variedad de técnicas de ataque AD, como Kerberoasting, DCSync y ataques Silver Ticket, y analiza el uso de herramientas ofensivas como Mimikatz, Rubeus e Impacket, que suelen emplear los actores de ransomware y amenazas persistentes avanzadas (APT).

Técnicas de ataque al AD.

Los métodos de detección tradicionales, como el análisis de registros (logs) y el análisis del tráfico de red, a menudo no son suficientes porque estas técnicas de ataque sigilosas no producen patrones anómalos en los registros o el tráfico de red, lo que hace que dichos métodos sean ineficaces. Por ejemplo, los ataques Kerberoasting, que implican realizar un ataque de fuerza bruta sin conexión para descifrar el ticket de servicio y obtener la contraseña de texto sin cifrar para una cuenta de servicio, no dan como resultado eventos ni registros detectables, lo que hace que sea particularmente difícil de detectar.

Dadas las limitaciones de la detección basada en registros y anomalías, los equipos de ingeniería de detección han intentado desarrollar detecciones que se dirijan específicamente a la evidencia de herramientas ofensivas particulares. Sin embargo, los atacantes se han adaptado mediante el uso de herramientas personalizadas, como variantes de PowerShell de Mimikatz (por ejemplo, Invoke-Mimikatz.ps1) y la creación de herramientas derivadas como Kekeo para eludir las detecciones específicas de la herramienta. También están utilizando cada vez más lenguajes de programación modernos como Rust y Go, ampliando su arsenal con posibilidades casi infinitas para herramientas ofensivas personalizadas. Esta adaptabilidad significa que una estrategia de detección que se base únicamente en la identificación de herramientas específicas se vuelve rápidamente obsoleta e ineficaz.