Servidores

Ataques active directory: ¿qué son y cómo defendernos de estos?

10 de mayo de 2022

Ataques active directory

Los ataques active directory están a la orden del día y la razón es sencilla: es una de las bases más utilizadas a nivel mundial por pertenecer a Windows. Del mismo modo en que los ladrones no merodean donde no hay nada que robar, quienes se dedican al ciberataque escogen zonas ricas. De modo que, si trabajas en un entorno active directory, continúa leyendo porque este artículo te interesará.

A medida que avanzan las tecnologías y todo se vuelve más sofisticados, los delincuentes de la web intentan hacer que sus métodos delictivos sean menos rastreables y es allí donde radica su peligrosidad. Cualquier estrategia de defensa requiere de tener muy aceitada la prevención y por eso es por lo que hay que conocer cómo es el funcionamiento de quienes emprenden esta tarea.

En general, las empresas recurren a las soluciones SIEM y a la consolidación del registro de eventos del controlador de dominio. Esto no está mal, pero deberían saber que los ataques active directory suelen no dejar rastro, con lo cual, estas técnicas preventivas no son útiles.

Descubre: SSD formó parte del proyecto Formación Docente en Paraguay

ataques active directory

¿Cómo funcionan los ataques active directory?

A grandes rasgos podríamos diferenciar tres estilos como los más usados por los crackers. No obstante, todos ellos se caracterizan por ser muy sigilosos, a tal punto que pueden llegar a estar hasta 146 días en una red sin ser detectados.

 DCShadow

Este tipo de ataque utiliza la funcionalidad de DCShadow de Mimikatz y lo que hace básicamente es lo siguiente: registra un controlador de dominio no autorizado modificando la configuración AD y luego realiza cambios falsos con intenciones dañinas. De esta manera se evita el registro SIEM porque el DC no autorizado no informa las modificaciones.

Inicios de sesión

Luego de la publicación de un código de vulnerabilidad de prueba de concepto, un desconocido pudo enviar mensajes Netlogon que derivó en la sustitución de la contraseña del ordenador del controlador de dominio. Así, se pudo concretar un inicio de sesión cero y el atacante consiguió quedarse con el controlador de dominio, con todo lo que eso implica.

Es importante comprender que los ataques active directory están diseñados especialmente para no ser rastreados. Por eso son tan potencialmente peligrosos y eficaces. Recordemos que quienes se dedican a esto pasan largas horas de sus vidas intentando encontrar vulnerabilidades en los sistemas. Y, por supuesto, más temprano que tarde lo consiguen.

¿Cómo protegerse de los ataques active directory?

Estar atento a los cambios en AD

Más allá de SIEM, es altamente recomendable que la organización le dedique tiempo a observar las modificaciones maliciosas en AD. Generalmente lo mejor es ponerse en manos de alguien externo para analizar la situación en su totalidad y tener todos los frentes cubiertos.

Quizás te interese: Consejos: ¿Mi empresa necesita un servidor virtual privado?

ataques active directory

Atención al rastro de DCShadow

Si hay señales de Mimikatz DCShadow, hay que alarmarse. Definitivamente, el análisis periódico de la seguridad del sistema consiste en vigilar las pistas que deja Mimikatz a su paso. Si se encuentra alguna, no dude porque seguramente fue víctima de un ataque. Entonces también será importante contar con alguna herramienta que muestre qué cambios se produjeron, para así poder cancelarlos.

La clave para resistir los ataques active directory está en la recuperación

De nada sirven los dos consejos anteriores si no se cuenta con una estrategia de recuperación del sistema. ¿Cuenta con las herramientas necesarias como para recuperar su controlador de dominio sin volver a infectarlo todo? En este sentido es importante tener diseñados planes de contingencia para que, en el peor de los casos, se sepa cómo actuar.

Hay estudios que revelan que la mayor parte de los usuarios de AD jamás probaron su estrategia de recuperación de daños y eso es igual de peligroso que no tener una. Los ataques de este tipo no paran de crecer y la diferencia entre el desastre o una simple anécdota está en la preparación. Suele ser de ayuda pensar que su sistema sí o sí será atacado en algún momento, para así dejar de pensar en este peligro como en una posibilidad y se actúa en consecuencia.

Recuerde que, para este tema, también hay especialistas que pueden asesorarlo en función de sus necesidades específicas. Si realmente le importa la seguridad de su empresa, entonces considere que la visibilidad en los cambios de AD y la capacidad de revertir daños son las claves.

¿Conocías el peligro de este tipo de ataques? ¿Tienes algo más para aportar? ¡Déjanos tu comentario!

Tags | , , , ,

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

You Might Also Like

tipos de seguridad en redes Networking & Security, Telecomunicaciones

¿Cuáles son los tipos de seguridad en redes y su importancia?

17 de mayo de 2021
Libros para aprender Ciberseguridad Networking & Security

6 Libros para aprender Ciberseguridad

30 de junio de 2022
auditorias de seguridad informática Networking & Security

¿Por qué tu empresa debería invertir en auditorías de seguridad informática?

26 de octubre de 2021
ciberataque Networking & Security, Telecomunicaciones

Ciberataque: ¿qué son y como prevenirlos?

14 de julio de 2021