Enumeración con PowerView
Utilizando PowerShell, los atacantes pueden recopilar sigilosamente datos internos de los usuarios y explotarlos.
Los ciberdelincuentes aprovechan PowerShell para ejecutar malware sin archivos. Estos archivos no binarios residen en la memoria y les permiten inyectar cargas útiles en aplicaciones en ejecución o mediante secuencias de comandos. Los scripts de entrega de carga útil casi siempre se ejecutan, ya que PowerShell es una aplicación confiable y ampliamente implementada. Además, la integración profunda de Windows de PowerShell y la capacidad de acceder a todas las partes de un host a través del marco .NET brindan a los malos actores la cobertura mejorada que necesitan para eludir los controles de seguridad tradicionales y violar las redes.
En conclusión, powerShell es una poderosa herramienta de post-explotacion que permite a los auditores de seguridad explorar una gran superficie de ataque y explotar muchas posibilidades de ataque.
Introducción a PowerView
PowerView, desarrollada por Will Schroeder, es una herramienta que utiliza la función de dominio de Windows para recopilar información sobre una red y sus usuarios. Todas las opciones de la herramienta envían solicitudes legítimas que pueden ejecutarse en el contexto de los derechos de un usuario de dominio.
Enlace de descarga de PowerView.ps1:
Para importar el script en memoria, podemos ejecutar los siguientes comandos:
En la evidencia previa, podemos apreciar la ejecución exitosa de Get-NetDomain.
Te recomendamos usar
La clave de una buena auditoria esta en la enumeración
La enumeración es un paso crucial en la fase de reconocimiento de un ataque o una evaluación de seguridad. Con esta información, un atacante o hacker ético puede planificar y ejecutar ataques más efectivos y dirigidos.
A continuaciín, te relacionamos algunos ejemplos de posibles vulnerabilidades que podrias encontrar al realizar una buena enumeracion en AD:
Al enumerar usuarios, un atacante podría descubrir un usuario llamado "backupadmin" y decidir que es un objetivo valioso debido a su posible acceso a backups críticos.
Al enumerar computadoras, un atacante podría identificar un servidor llamado "HR-DB-Server", lo que indica que podría almacenar información valiosa del departamento de recursos humanos.
Al listar grupos, podrían encontrarse grupos como "IT-Admins" o "Finance-Privileged", que, si se comprometen, podrían otorgar acceso a áreas críticas.
Al revisar GPOs, un atacante podría identificar scripts de inicio que están mal configurados y que podrían ser explotados para ejecutar código malicioso.
Al inspeccionar ACLs, podrían descubrirse configuraciones que otorgan permisos de escritura a usuarios normales en directorios que no deberían, permitiendo posibles ataques de escalada de privilegios.
Guia de comandos
Antes de ejecutar cualquiera de los comandos, se debe importar el comando:
Quick enumeration
Domain info
Users, Groups and Computers
Logon and Sessions
Shared files and folders
GPOs & OUs
ACL
Domain Trust
Última actualización