Riesgos ocultos en Active Directory: una APT simulada
Publicado el
Introducción
La simulación de una APT (Amenaza Persistente Avanzada) ha puesto de manifiesto los riesgos asociados a Active Directory. En este caso, Nebula Jackal observó durante 24 horas el portátil de una empleada, Marta Solis, sin causar alarmas.
Metodología de la intrusión
En lugar de lanzar comandos ruidosos, como `whoami /all`, el operador Knifewall optó por un enfoque más sutil. Se centró en obtener contexto sobre el sistema a través de comandos de bajo perfil, evitando despertadores de alarmas. Utilizó comandos como `nltest /dsgetdc:IBERLOGIX` y `gpresult /r` para recopilar información sobre el entorno.
Análisis de relaciones en el sistema
El análisis inicial reveló detalles sobre el dominio y el usuario, así como los grupos a los que pertenecía, como Finance-Madrid y SAP-FI-Users. Un hallazgo clave fue un script antiguo en `SYSVOL`, que contenía credenciales codificadas. Esto permitió el acceso a datos sensibles sin necesidad de privilegios elevados, destacando la vulnerabilidad de las credenciales almacenadas.
Explotación de credenciales
Al probar la credencial `IBERLOGIX\sap_ro`, el operador logró acceder a exportaciones de SAP, revelando información financiera crítica. Esto subraya la importancia de gestionar adecuadamente las credenciales y la necesidad de implementar medidas de seguridad más robustas.
Identificación de puntos débiles
El siguiente paso consistió en identificar otros usuarios y servidores mediante la revisión de documentos internos. Se descubrieron nombres de servidores que podrían ser explotados, incluyendo un servidor de salto administrativo, `JMP-ADM-02`. La falta de limpieza en permisos tras adquisiciones anteriores dejó una serie de vulnerabilidades que podrían ser aprovechadas por atacantes.
Interacción con M365
Simultáneamente, Meridian, otro operador, examinó M365. A través de un ataque de phishing, logró capturar una sesión parcial de Marta. Aunque la autenticación multifactor (MFA) limitó el acceso, se pudo obtener información suficiente para planificar una nueva estrategia de ataque, centrándose en las reglas de correo y el consentimiento de OAuth.
Conclusiones
La simulación de esta APT resalta la necesidad de una gestión rigurosa de credenciales y una auditoría constante de permisos en Active Directory. Las estrategias de defensa deben adaptarse para mitigar el riesgo de intrusiones silenciosas que explotan las relaciones y credenciales mal gestionadas. La seguridad en entornos corporativos requiere una vigilancia proactiva y la implementación de controles técnicos eficientes para detectar y responder a amenazas antes de que causen daño real.