Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
DCEPT, una herramienta de código abierto para la detección de intrusos en la red
Investigadores de Dell SecureWorks han desarrollado una herramienta disponible para todo el público que permite a administradores de sistemas Windows detectar intentos de intrusiones en la red e identificar a la fuente original (es decir, un punto final comprometido).
“En las redes Windows de Microsoft, un dominio es un grupo de computadoras que están registradas en una base de datos central, conocida como controlador de dominio. Usando un componente de Windows conocido como Directorio Activo (AD), los administradores de la red pueden administrar todas las cuentas de usuarios, procesos y permisos en dispositivos que se han unido al dominio,” explicaron los investigadores.
“De manera predeterminada, Windows almacena en memoria las credenciales de acceso, y los usuarios locales con privilegios administrativos pueden extraerlas. Cuando un administrador de dominio inicia sesión de forma interactiva (a través del teclado, escritorio remoto o con herramientas por línea de comandos, como PsExec) en una estación de trabajo comprometida, su contraseña se almacena en la caché de credenciales. Usando herramientas populares para el robo de credenciales como Mimicatz, un atacante con privilegios de administrador local puede volcar la caché y leer la contraseña y/o su hash (que es tan eficaz como la contraseña, teniendo en cuenta cómo funciona la autenticación en Windows). Con esta información, el atacante gana control total de la red”.
La herramienta se llama DCEPT (Domain Controles Enticing Password Tripware). Consiste en:
- El servidor de generación DCEPT, el cual crea credenciales honeytoken únicas para el Directorio Activo (AD), el componente de Windows usado por administradores de red para administrar cuentas, procesos, y permisos en dispositivos dentro del dominio.
- El agente DCEPT, el cual los introduce diariamente en la memoria de cada punto final de la red.
- El sniffer DCEPT, que busca paquetes de preautenticación de Kerberos destinados para el controlador de dominio que coinciden con el usuario en el honeytoken. Si detecta uno, alerta al administrador de la red y apunta hacia la estación de trabajo comprometida.
DCEPT es de código abierto y está disponible en GitHub, junto con las instrucciones para desarrollo.
