Enumeración de SAM remota controlada anti BloodHound !!!

 Estimados amigos de Inseguros !!!

Una herramienta que constantemente se usa en los procesos de hacking, tanto ético como criminal es BloodHound. No vamos a comentar en profundidad nada de esta herramienta ya que hemos hablado largo y tendido en este blog. Incluso hemos mostrado como montar un HoneyUser para detectar el uso de BloodHound. 

En esta ocasión os voy a contar algo que estamos viendo en el Master de ciberseguridad en Tecnologías de Microsoft que impartimos en Verne Academy.

Por defecto, los usuarios administradores locales pueden enumerar las cuentas SAM remotas o un Directorio... en busca de miembros o sesiones... Un comportamiento usado con el ingestor de BloodHound para enumerar el AD sin usuario válido.

Podemos limitar este comportamiento con una sencilla GPO como está:

Es una GPO un poco invasiva. No sabemos si hay software que usas que emplea esta característica para vete tu a saber. Lo típico, es más fácil decir que lo implementes que hacerlo.

Pero en esta ocasión tenemos la posibilidad de establecer la política y habilitarla en modo auditoria, es decir, no va a cortar el acceso, pero nos va a generar un precioso log, que nos sirva para analizar nuestro ecosistema y estudiar la viabilidad de la medida.

El modo auditoria se activa mediante:

De esta manera, seguiremos pudiento enumerar activos, por ejemplo: Net groups "Admins. del dominio" /domain Pero nos dejará un evento.

Espero que te sirva este pequeño truco, y no le digas a nadie que lo has leido aquí, se supone que lo damos para los alumnos del master... xDD

Gracias por leerme

Y si te gusta este contenido, te animo a que te registre para estar al día de nuevos post, cursos, webinars, eventos etc.