Hacking en Active Directory - [CPAD-100]

DCSync

AnteriorFundamentos de persistencia y la post-explotación en AD SiguienteExtracción de Credenciales del Dominio de Active Directory

Última actualización hace 9 meses

¿Te fue útil?

DCSync

Para llevar tu aprendizaje al siguiente nivel y practicar estas técnicas de manera segura y efectiva, te invitamos a adquirir acceso premium a nuestro material de curso. No pierdas esta oportunidad de profundizar tus conocimientos. Para más información y adquirir tu acceso, visita nuestro canal de ventas: . ¡Te esperamos para empezar este viaje juntos!

OBJETIVO DEL EJERCICIO #24:

Utilizando los privilegios del usuario:spartancybersec.corp\admin Se debe recopilar todos los hashes del dominio.Este ejercicio deberia ser realizado desde el servidor de First-DC. Para realizarlo es suficiente tener encendido UNICAMENTE First-DC.

DCSync es un ataque dentro del conjunto de técnicas de post-explotación en entornos de Windows, particularmente en redes que utilizan Active Directory (AD). Este ataque permite a un atacante con suficientes privilegios simular el comportamiento de un Controlador de Dominio (DC) y solicitar información sensible de otros DCs. Esto incluye hashes de contraseñas de usuarios, claves de cifrado de Kerberos y otros datos que están normalmente protegidos y solo accesibles para los Controladores de Dominio.

Cómo funciona DCSync:

Privilegios Necesarios: Para ejecutar un ataque DCSync, el atacante necesita tener privilegios de nivel alto en el dominio, típicamente como un usuario con el rol de "Domain Admin" o similar.
Mimikatz y DCSync: Una de las herramientas más populares que implementa este ataque es Mimikatz. Mimikatz tiene un módulo llamado lsadump que puede utilizarse para realizar un ataque DCSync.
Replicación de Directorio: El ataque se basa en la funcionalidad legítima de replicación de directorio entre Controladores de Dominio. El protocolo de replicación de AD, MS-DRSR (Microsoft Directory Replication Service (DRS) Remote Protocol), permite a un DC obtener actualizaciones de datos de otro DC. Un atacante puede utilizar este protocolo para simular una solicitud de replicación.
Solicitud de Datos de Cuentas: Un atacante puede solicitar los datos de ciertas cuentas específicas, o incluso de todas las cuentas en el dominio, lo que incluye los hashes de las contraseñas de NTLM y los tickets de Kerberos (TGTs).
Extracción de Información Sensible: El ataque permite que el atacante extraiga información que puede ser utilizada para aumentar su nivel de acceso o para comprometer aún más la red, realizando ataques de movimiento lateral o elevación de privilegios.

Defensa Contra DCSync:

Monitorización: Las soluciones de seguridad y los equipos de operaciones de seguridad deben monitorizar los registros de eventos y las herramientas de seguridad para cualquier actividad anómala relacionada con la replicación de AD.
Control de Acceso: Asegurarse de que solo los usuarios necesarios tienen privilegios de "Domain Admin" o similares. Usar el principio de privilegio mínimo reduce significativamente la superficie de ataque para técnicas como DCSync.
Detección de Anomalías: Implementar soluciones que puedan detectar comportamientos anómalos, como una máquina que no es un DC que realiza solicitudes de replicación de AD.
Actualizaciones y Parches: Mantener todos los sistemas actualizados y aplicar parches de seguridad para prevenir la explotación de vulnerabilidades conocidas.

En resumen, DCSync es una poderosa técnica de ataque que subraya la importancia de una gestión de privilegios estricta, así como de una sólida detección y respuesta a incidentes en el entorno de Active Directory.

AnteriorFundamentos de persistencia y la post-explotación en AD SiguienteExtracción de Credenciales del Dominio de Active Directory

Última actualización hace 9 meses

¿Te fue útil?

OBJETIVO DEL EJERCICIO #24:

Cómo funciona DCSync:

Privilegios Necesarios: Para ejecutar un ataque DCSync, el atacante necesita tener privilegios de nivel alto en el dominio, típicamente como un usuario con el rol de "Domain Admin" o similar.
Mimikatz y DCSync: Una de las herramientas más populares que implementa este ataque es Mimikatz. Mimikatz tiene un módulo llamado lsadump que puede utilizarse para realizar un ataque DCSync.
Replicación de Directorio: El ataque se basa en la funcionalidad legítima de replicación de directorio entre Controladores de Dominio. El protocolo de replicación de AD, MS-DRSR (Microsoft Directory Replication Service (DRS) Remote Protocol), permite a un DC obtener actualizaciones de datos de otro DC. Un atacante puede utilizar este protocolo para simular una solicitud de replicación.
Solicitud de Datos de Cuentas: Un atacante puede solicitar los datos de ciertas cuentas específicas, o incluso de todas las cuentas en el dominio, lo que incluye los hashes de las contraseñas de NTLM y los tickets de Kerberos (TGTs).
Extracción de Información Sensible: El ataque permite que el atacante extraiga información que puede ser utilizada para aumentar su nivel de acceso o para comprometer aún más la red, realizando ataques de movimiento lateral o elevación de privilegios.

Defensa Contra DCSync:

Monitorización: Las soluciones de seguridad y los equipos de operaciones de seguridad deben monitorizar los registros de eventos y las herramientas de seguridad para cualquier actividad anómala relacionada con la replicación de AD.
Control de Acceso: Asegurarse de que solo los usuarios necesarios tienen privilegios de "Domain Admin" o similares. Usar el principio de privilegio mínimo reduce significativamente la superficie de ataque para técnicas como DCSync.
Detección de Anomalías: Implementar soluciones que puedan detectar comportamientos anómalos, como una máquina que no es un DC que realiza solicitudes de replicación de AD.
Actualizaciones y Parches: Mantener todos los sistemas actualizados y aplicar parches de seguridad para prevenir la explotación de vulnerabilidades conocidas.