Impersonation

La impersonación en el contexto de la ciberseguridad, especialmente en entornos de Active Directory, implica el uso de credenciales obtenidas para acceder a recursos como si fuera otro usuario. Dependiendo del tipo de material de credencial obtenido, la impersonación se puede realizar de diferentes maneras​​:

1. Usando Hashes de Contraseñas LM o NT: Técnica conocida como "pass-the-hash".

2. RC4 Kerberos key (es decir, hash NT): Conocida como "overpass-the-hash".

3. no-RC4 Kerberos key (como DES o AES): Referida como "pass-the-key", también un alias para "overpass-the-hash".

4. Ticket Kerberos: A través de la técnica "pass-the-ticket".

5. Contraseña en Texto Plano: Se aplican técnicas adicionales.

En el contexto de PowerShell, hay varias maneras de realizar la impersonación:

• Comando RunAs: Es un comando estándar de Windows que permite ejecutar un programa bajo una cuenta de usuario diferente. Utiliza el flag /netonly para indicar que las credenciales se usan solo para acceso remoto. Por ejemplo, runas /netonly /user:$DOMAIN\$USER "powershell.exe"​​.

• Objeto de Credencial en PowerShell: Puedes crear un objeto de credencial en PowerShell y suministrarlo con el argumento -Credential en el siguiente comando. Esto se puede hacer de manera interactiva con Get-Credential o no interactiva creando el objeto de credencial directamente​​.

• Funciones de PowerView: Muchas funciones de PowerView admiten los parámetros -Credential, -Domain y -Server, que se pueden utilizar para especificar explícitamente el usuario, el dominio y el controlador de dominio objetivo. Aquí también, se debe proporcionar un objeto de credencial​​.