En este artículo, exploraremos una técnica de ataque avanzada conocida como DCSync Backdoor, la cual puede comprometer los controladores de dominio y obtener acceso no autorizado a un directorio activo. Esta técnica no solo se utiliza como vector de ataque, sino también como medio de persistencia para actores maliciosos. Descubriremos los detalles de esta técnica, discutiremos su detección y resaltaremos algunas buenas prácticas para proteger tu infraestructura.
¿Qué es DCSync Backdoor?
DCSync Backdoor es un permiso otorgado tanto por usuario como por equipo y se usa principalmente en entornos Windows para sincronizar controladores de dominio. Cuando se añade un nuevo controlador de dominio a un dominio, DCSync Backdoor permite replicar toda la información del controlador de dominio original. Sin embargo, también puede aprovecharse como una puerta trasera para extraer información específica, lo que representa un riesgo de seguridad significativo.
Un atacante puede hacerse pasar por una entidad de confianza, como un supervisor, y solicitar datos sensibles, como los valores hash de las contraseñas del administrador. Esta técnica de ataque no solo es útil para la explotación inmediata, sino también para establecer persistencia en un sistema comprometido.
Detección y discreción
Detectar el DCSync Backdoor es relativamente sencillo si se cuenta con una monitorización adecuada de los controladores de dominio. Al monitorear los controladores de dominio, debemos estar atentos a intentos de sincronización inesperados desde dispositivos que no sean PC. Este es un claro indicador de un posible uso indebido del permiso DCSync Backdoor. Las organizaciones equipadas con soluciones avanzadas de monitoreo, como Mimikatz, pueden identificar y responder rápidamente a este tipo de intentos.
Intentar sincronizar información como si se tratara de un controlador de dominio genera sospechas durante las actividades de monitoreo habituales. Por lo tanto, es esencial mantener la precaución al utilizar esta técnica. Si el ataque se limita a un usuario específico, hay menos posibilidades de detección en comparación con un ataque dirigido a miles de usuarios. Sin embargo, es importante tener en cuenta que el DCSync Backdoor es una técnica relativamente llamativa.
La técnica AdminSDHolder
Otra variante interesante del DCSync Backdoor es la técnica AdminSDHolder, utilizada por organizaciones con un nivel de madurez más alto en términos de seguridad. Esta técnica aprovecha una plantilla llamada AdminSDHolder para establecer la membresía de usuarios en grupos específicos, como administradores de dominio, operadores de respaldo o administradores de la empresa. La plantilla AdminSDHolder garantiza que la membresía de usuarios se mantiene limitada a los grupos definidos. Este enfoque brinda a las organizaciones una forma de proteger su entorno al limitar la existencia de cuentas privilegiadas.
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaSin embargo, existen casos en los que esta técnica puede ser explotada. En algunas situaciones, las organizaciones pueden pasar por alto o no monitorear la plantilla AdminSDHolder, lo que permite a los atacantes agregar sus propias cuentas de usuario. Mediante la creación estratégica de cuentas de usuario y su inclusión en los grupos definidos, los atacantes pueden asegurar el acceso continuo al sistema. Vale la pena mencionar que no todas las organizaciones monitorean activamente esta técnica, lo que la convierte en una posible vulnerabilidad a tener en cuenta.
Ampliando el ataque: Silver, Golden y Diamond Tickets
Además del DCSync Backdoor y la técnica AdminSDHolder, existen otras técnicas de ataque interesantes relacionadas con la autenticación Kerberos. Entre ellas se encuentran los Silver Tickets, Golden Tickets, Diamond Tickets y Forget Tickets. Aunque no nos enfocaremos en la última, los tickets sí son dignos de mención.
¿Cuál es la diferencia entre ellos? Cuando estamos en una infraestructura que utiliza el proceso de autenticación Kerberos, el proceso de conexión implica interactuar con el controlador de dominio para obtener un ticket que nos permita acceder a un servicio en particular. Este proceso incluye un intercambio de desafío y respuesta, en el cual se solicita el ticket de servicio necesario para acceder al servicio deseado en la máquina objetivo.
¡Únete al Bootcamp en Ciberseguridad!
¿Estás emocionado por aprender más sobre técnicas de ciberseguridad y proteger los sistemas de información? En el Ciberseguridad Full Stack Bootcamp de KeepCoding, podrás adquirir las habilidades y conocimientos necesarios para enfrentarte a los desafíos de seguridad cibernética del mundo real. Al completar el bootcamp, estarás preparado para acceder a la industria tecnológica, que ofrece una alta demanda de profesionales y salarios atractivos. ¡Pide más información ahora y transforma tu futuro!