Investigadores de Dell SecureWorks han desarrollado una herramienta disponible para todo el público que permite a administradores de sistemas Windows detectar intentos de intrusiones en la red e identificar a la fuente original (es decir, un punto final comprometido).
“En las redes Windows de Microsoft, un dominio es un grupo de computadoras que están registradas en una base de datos central, conocida como controlador de dominio. Usando un componente de Windows conocido como Directorio Activo (AD), los administradores de la red pueden administrar todas las cuentas de usuarios, procesos y permisos en dispositivos que se han unido al dominio,” explicaron los investigadores.
“De manera predeterminada, Windows almacena en memoria las credenciales de acceso, y los usuarios locales con privilegios administrativos pueden extraerlas. Cuando un administrador de dominio inicia sesión de forma interactiva (a través del teclado, escritorio remoto o con herramientas por línea de comandos, como PsExec) en una estación de trabajo comprometida, su contraseña se almacena en la caché de credenciales. Usando herramientas populares para el robo de credenciales como Mimicatz, un atacante con privilegios de administrador local puede volcar la caché y leer la contraseña y/o su hash (que es tan eficaz como la contraseña, teniendo en cuenta cómo funciona la autenticación en Windows). Con esta información, el atacante gana control total de la red”.
La herramienta se llama DCEPT (Domain Controles Enticing Password Tripware). Consiste en:
DCEPT es de código abierto y está disponible en GitHub, junto con las instrucciones para desarrollo.
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT