¿Sabes cuáles son los protocolos para el movimiento lateral? El movimiento lateral implica la propagación de un ataque o una brecha de seguridad a través de los recursos de la red, con el objetivo de comprometer sistemas adicionales o adquirir privilegios más elevados.
En este artículo, te mostraremos los protocolos para el movimiento lateral que existen.
Protocolos para el movimiento lateral
Son muchos los protocolos para el movimiento lateral que permiten el acceso de forma remota a y entre sistemas Windows. Veamos algunos de los principales.
SMB (Server Message Block)
Entre los protocolos para el movimiento lateral, este es un protocolo de red que permite compartir archivos, impresoras, etc. entre nodos de una red de ordenadores que usan el sistema operativo Microsoft Windows. Nos sirve para validar si unas credenciales son válidas y suele emplear el puerto 445.
Con SMB, un dispositivo puede acceder a archivos o imprimir en una impresora ubicada en otro dispositivo de la red, siempre y cuando se haya otorgado el permiso adecuado.
Existen diferentes versiones de SMB. SMBv1 es la versión más antigua y menos segura, mientras que SMBv2 y SMBv3 introdujeron mejoras significativas en términos de seguridad, rendimiento y características adicionales.
WinRM (Windows Remote Management)
Este es otro de los protocolos para el movimiento lateral. Consiste en un conjunto de servicios y protocolos que permiten interactuar con un sistema remoto. Lo usa PowerShell.
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaWinRM se basa en el protocolo web HTTP (Hypertext Transfer Protocol) y utiliza el formato XML (Extensible Markup Language) para intercambiar información entre sistemas. Proporciona una interfaz de administración remota que le permite a los administradores ejecutar comandos, acceder a información del sistema, realizar configuraciones y administrar servicios en ordenadores con Windows desde un equipo remoto.
Algunos de los casos de uso comunes de WinRM incluyen la configuración y la administración de servidores, la implementación de actualizaciones de software, la supervisión del rendimiento del sistema y la resolución de problemas.
WinRM utiliza SSL/TLS (Secure Sockets Layer/Transport Layer Security) para cifrar las comunicaciones y proporcionar una capa de seguridad en la transferencia de datos. Además, admite la autenticación basada en credenciales y permite la configuración de permisos y políticas de acceso para controlar quién tiene acceso y qué operaciones pueden realizar.
DCOM (Distributed Component Object Model)
Entre los protocolos para el movimiento lateral, este es un componente de Windows API que permite la interacción entre objetos software (un objeto cliente puede usar métodos de objetos servidores, que suelen ser DLL o ejecutables). Suele usar el puerto 135.
DCOM se basa en el modelo COM (Component Object Model) de Microsoft, que define cómo los objetos de software interactúan entre sí. Este protocolo amplía el modelo COM para permitir que los objetos se comuniquen y se utilicen a través de la red, de modo que facilita la construcción de sistemas distribuidos.
Este protocolo, a su vez, utiliza el protocolo RPC (Remote Procedure Call) para enviar y recibir llamadas a métodos y funciones entre componentes distribuidos. Las llamadas a procedimientos remotos permiten que los objetos en un ordenador soliciten servicios o realicen operaciones en objetos ubicados en otro ordenador de la red.
WMI (Windows Management Instrumentation)
Es uno de los protocolos para el movimiento lateral propietario de Windows, para la ejecución de acciones remotas y recuperación de información.
WMI permite a los administradores de sistemas monitorear y controlar los recursos de una red de Windows de forma remota. Permite la supervisión en tiempo real de eventos, la configuración de políticas de grupo, la recuperación de información del sistema, la ejecución de scripts y la administración de aplicaciones. Este protocolo se basa en el lenguaje de consulta estructurado (SQL) para realizar consultas y recibir datos del sistema.
Los componentes clave de WMI incluyen el proveedor WMI, que interactúa con los recursos del sistema y proporciona información a través de WMI, y el Instrumental de administración (MI), que se comunica con el proveedor WMI para acceder a los datos y eventos del sistema.
Existen diversos protocolos para el movimiento lateral y los que hemos detallado aquí no son los únicos. Puedes seguir aprendiendo sobre esto y mucho más a través de nuestro Bootcamp de Ciberseguridad, donde descubrirás la mejor manera de proteger los sistemas.
Con la guía de esta formación de alta intensidad y nuestros profesores expertos, dominarás todo lo necesario tanto a nivel teórico como práctico para impulsar tu carrera en el sector IT en pocos meses. ¡Accede para solicitar información y atrévete a transformar tu vida a partir de este momento!