Introduccion a la post-explotación y persistencia en Windows
En el marco de este curso, no abordaremos en profundidad esta temática para evitar desviarnos del enfoque principal. Sin embargo, para aquellos interesados en expandir sus conocimientos en esta área, les recomendamos estar atentos al próximo lanzamiento de nuestro "Curso Profesional de Pentesting contra Windows - [CPPW]", diseñado específicamente para profundizar en estas competencias.
La post-explotación se refiere a las actividades que un atacante puede llevar a cabo una vez que ha conseguido comprometer un sistema. En esta fase, el atacante busca consolidar su acceso, recopilar datos y moverse lateralmente a través de la red para alcanzar sus objetivos finales, que pueden ser el robo de información, la interrupción de servicios, espionaje, entre otros.
La persistencia, por otro lado, es una técnica de post-explotación que permite al atacante mantener el acceso a un sistema incluso después de que se reinicie o se cambien las credenciales de usuario. La idea es que, independientemente de las medidas de seguridad o los protocolos de limpieza que sigan los defensores, el atacante pueda volver a entrar al sistema.
Herramientas y Métodos de Post-Explotación y Persistencia:
Mimikatz:
Uso: Es una herramienta de post-explotación conocida por su capacidad para extraer contraseñas, hashes, tickets Kerberos y otros datos de la memoria de Windows.
Ataques famosos: Pass the Hash, Pass the Ticket, Golden y Silver Tickets.
PsExec:
Uso: Herramienta de línea de comandos que permite la ejecución de procesos en sistemas remotos. Es usada para moverse lateralmente a través de una red.
Ataques famosos: Ejecución remota de malware o herramientas de post-explotación en máquinas dentro de una red.
Metasploit Framework:
Uso: Suite de herramientas para el desarrollo y ejecución de exploits contra objetivos remotos, que también incluye módulos de post-explotación.
Ataques famosos: Meterpreter para mantener sesiones persistentes y la realización de ataques como el dumping de credenciales y la elevación de privilegios.
Empire:
Uso: Framework de post-explotación que usa PowerShell y Python para su arsenal de herramientas.
Ataques famosos: Creación de listeners, dumping de credenciales, ejecución de código y explotación de configuraciones débiles.
BloodHound:
Uso: Utiliza el modelo de ataque basado en relaciones de Active Directory para desvelar patrones de relaciones y flujos de permisos que son críticos para la comprensión del atacante sobre el movimiento lateral y la escalada de privilegios.
Ataques famosos: Visualización de caminos de ataque dentro de una red de Active Directory.
Powershell Empire o PowerShell Scripts:
Uso: Uso de scripts PowerShell para automatizar tareas de post-explotación y establecer persistencia.
Ataques famosos: Inyección de backdoors, creación de tareas programadas y manipulación de procesos y servicios para mantener el acceso.
Técnicas de Persistencia:
Registry Keys:
Descripción: Modificación o adición de claves de registro específicas para que el código malicioso se ejecute al iniciar el sistema.
Service Creation:
Descripción: Creación de servicios de Windows para ejecutar malware de forma continua como un proceso del sistema.
Scheduled Tasks:
Descripción: Programación de tareas para ejecutar malware en momentos específicos o bajo ciertas condiciones.
WMI Event Subscriptions:
Descripción: Uso de Windows Management Instrumentation para ejecutar scripts o binarios cuando se cumplen ciertas condiciones.
Startup Folder:
Descripción: Colocación de scripts o enlaces en la carpeta de inicio de Windows para ejecución tras el inicio de sesión de un usuario.
Account Manipulation:
Descripción: Creación de cuentas de usuario ocultas o modificaciones en cuentas existentes para garantizar el acceso.
Última actualización