En un ejercicio de intrusión, antes de comenzar a movernos por la red, un proceso en el que podemos hacer que salte alguna alarma, es imprescindible analizar de manera completa el equipo accedido para intentar sacar la mayor cantidad de información posible. Por eso, en este post, veremos cómo hacer el análisis del equipo accedido en ciberataque, así como algunos ejemplos de información que puede buscarse.
Análisis del equipo accedido en ciberataque
Existen diversos datos que podemos sacar en el análisis del equipo accedido en ciberataque. Aquí están los más comunes:
Verificación del usuario accedido y privilegios
Al obtener acceso al equipo, se puede verificar qué usuario está actualmente autenticado en el sistema y qué nivel de privilegios tiene asignados. Esta es una parte importante del análisis del equipo accedido en ciberataque.
Identificación de la configuración de red
Este aspecto del análisis del equipo accedido en ciberataque implica recopilar información sobre la configuración de red del sistema comprometido. Incluye detalles como direcciones IP, máscaras de subred, puertas de enlace predeterminadas, servidores DNS y configuración de interfaces de red, entre otros.
Identificación de conexiones establecidas
En este apartado del análisis del equipo accedido en ciberataque incluye conexiones entrantes y salientes. El objetivo es determinar qué servicios o aplicaciones están interactuando con el sistema a través de la red y si hay alguna comunicación sospechosa que pueda indicar una actividad maliciosa.
Identificación de la visibilidad con sistemas en internet
En este caso del análisis del equipo accedido en ciberataque, se busca determinar si el sistema comprometido tiene visibilidad o acceso a otros sistemas en internet. Esto implica verificar si hay puertos abiertos o servicios expuestos en el sistema que puedan ser accesibles desde internet.
Identificación de sistemas internos (sin interacción)
Este aspecto del análisis del equipo accedido en ciberataque implica buscar y enumerar otros sistemas o dispositivos en la red interna, a los que el sistema comprometido tenga acceso sin requerir una interacción adicional, como credenciales adicionales o explotación adicional. El objetivo es mapear la infraestructura interna y determinar qué otros sistemas pueden estar en riesgo si el sistema comprometido se utiliza como punto de entrada.
Identificación de usuarios locales y de dominio
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaAquí se busca obtener información sobre los usuarios locales y los usuarios de dominio que existen en el sistema. Esto puede incluir nombres de usuario, identificadores de seguridad (SID), información de grupos, roles y privilegios asociados. Estos detalles son relevantes para comprender quién tiene acceso al sistema y qué acciones pueden realizar.
Identificación de comandos ejecutados
Este aspecto del análisis del equipo accedido en ciberataque implica revisar los registros del sistema o las huellas de auditoría para identificar los comandos ejecutados en el sistema comprometido. Esto puede ayudar a determinar qué acciones se han realizado en el sistema, incluidas las acciones del atacante, y rastrear las actividades maliciosas o los cambios realizados.
Identificación de software instalado (elevación de privilegios)
Aquí se busca determinar qué software está instalado en el sistema comprometido. Esto incluye tanto software legítimo como posiblemente malicioso. La identificación de software instalado puede ayudar a comprender las funcionalidades disponibles para los atacantes. También puede proporcionar pistas sobre posibles vulnerabilidades que puedan ser explotadas.
Identificación de claves existentes en recursos internos
Este aspecto implica buscar y extraer claves de cifrado, contraseñas u otros datos sensibles que puedan estar almacenados en el sistema comprometido o en recursos internos a los que el sistema tenga acceso. Esto, en el análisis del equipo accedido en ciberataque, puede permitir a los atacantes obtener acceso adicional a sistemas o datos protegidos.
Acceso y análisis de recursos compartidos en red que estén montados
Aquí se busca identificar y acceder a recursos compartidos en red que estén montados en el sistema comprometido. Estos recursos pueden incluir unidades de red, carpetas compartidas u otros dispositivos o servicios accesibles a través de la red. Al acceder a estos recursos, los atacantes pueden obtener información adicional o incluso propagar su acceso a otros sistemas en la red.
¿Quieres seguir aprendiendo?
Entender todas las pautas y aspectos del análisis del equipo accedido en ciberataque es de suma importancia para llevar a cabo nuestros ejercicios de intrusión. Si te ha gustado el tema y quieres saber más sobre temáticas similares a esta, entra en nuestro Ciberseguridad Full Stack Bootcamp para convertirte en todo un profesional de la seguridad informática. Con esta formación de alta intensidad, aprenderás todo lo necesario a nivel teórico y práctico para impulsar tu carrera en poco tiempo. ¡Pide ya mismo más información y atrévete a dar el paso que te cambiará la vida!
