Spoofing de servicios locales con InternalMonologe

| Última modificación: 19 de abril de 2024 | Tiempo de Lectura: 3 minutos

Algunos de nuestros reconocimientos:

Premios KeepCoding

¿Sabes cómo hacer spoofing de servicios locales con InternalMonologe? La técnica InternalMonologe es muy útil en situaciones en las que no se cuenta con los privilegios necesarios de administrador para ejecutar programas como Mimikatz. Esta técnica consiste en forzar la máquina a ejecutar acciones de los usuarios que tienen corriendo algún proceso, de forma que sea posible obtener sus hashes NetNTLM (v2/v1).

Spoofing de servicios locales con InternalMonologe

Spoofing de servicios locales con InternalMonologe

El spoofing de servicios locales con InternalMonologe es un tipo de ataque en el que un actor malintencionado intenta engañar a un sistema para que crea que está interactuando con un servicio o recurso local legítimo cuando, en realidad, está comunicándose con un atacante. Este tipo de ataque puede permitir que un atacante obtenga acceso no autorizado a la información sensible o lleve a cabo otras actividades maliciosas.

En el contexto de spoofing de servicios locales con InternalMonologe, este es un proyecto de investigación que fue presentado en la conferencia Black Hat Europe en 2020. Este proyecto exploró la posibilidad de llevar a cabo ataques de spoofing de servicios locales utilizando la funcionalidad de captura de audio en Windows. Los investigadores demostraron que era posible capturar el audio del micrófono de un sistema comprometido y enviárselo a un atacante a través de protocolos de red legítimos.

A grandes rasgos, en esto consiste el spoofing de servicios locales con InternalMonologe.

¿Qué es el spoofing de servicios locales?

El spoofing de servicios locales con InternalMonologe, también conocido como local service spoofing, es una técnica utilizada por los atacantes para engañar a un sistema o red haciéndoles creer que un servicio legítimo se está ejecutando localmente cuando en realidad no lo está.

En general, el spoofing se refiere a la falsificación o manipulación de información para hacer que algo parezca diferente de lo que realmente es. En el caso del spoofing de servicios locales, un atacante puede lograr que un servicio en un sistema aparente estar siendo proporcionado por una entidad diferente o desde una ubicación distinta dentro de la red.

🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴

Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada

👉 Prueba gratis el Bootcamp en Ciberseguridad por una semana

Este tipo de ataque puede tener varios objetivos, por ejemplo:

  1. Engañar a los usuarios o administradores de sistemas para que proporcionen información confidencial, como contraseñas o datos personales.
  2. Desviar el tráfico de red hacia un servidor controlado por el atacante para interceptar o manipular la información transmitida.
  3. Realizar ataques de denegación de servicio (DoS) al hacer que los servicios legítimos sean inaccesibles o inutilizables.

Para llevar a cabo el spoofing de servicios locales con InternalMonologe, los atacantes pueden utilizar diversas técnicas, como el envenenamiento de ARP (Address Resolution Protocol), el uso de DNS falsos o la manipulación de tablas de enrutamiento.

¿Qué es el InternalMonologe attack?

El ataque de monólogo interno o InternalMonologe attack es una técnica que le permite a un atacante obtener hashes NTLM de un sistema sin tocar el proceso LSASS. Es similar a Mimikatz, pero podría decirse que es más sigiloso, porque no hay necesidad de inyectar código o volcar memoria hacia/desde un proceso protegido.
El ataque de spoofing de servicios locales con InternalMonologe consiste en invocar una llamada de procedimiento local al paquete de autenticación NTLM (MSV1_0), desde una aplicación en modo de usuario a través de SSPI, para calcular una respuesta de NetNTLM en el contexto del usuario que inició sesión, después de realizar una degradación ampliada de NetNTLM.

Este se considera un ataque de degradación porque el atacante degrada la versión de NTLM para extraer el hash. El ataque de InternalMonologe es una amenaza grave para los entornos seguros, donde Mimikatz no debe ejecutarse debido a controles como Credential Guard o antivirus residente. El ataque es sigiloso porque no se genera tráfico de red y el desafío elegido no es fácilmente visible.
No se registra ningún evento de autenticación NTLM exitoso en los registros. Los cambios en el registro para la degradación de NetNTLM y el robo de tokens/suplantación de identidad de otros usuarios pueden activar los indicadores.

¿Quieres seguir aprendiendo?

Ahora que conoces cómo se lleva a cabo el spoofing de servicios locales con InternalMonologe puedes profundizar más en cómo prevenir este tipo de ataques gracias a nuestro Ciberseguridad Full Stack Bootcamp. Con la guía de esta formación de alta intensidad y nuestros profesores expertos, adquirirás todos los conocimientos teóricos y prácticos necesarios para impulsar tu carrera en el mundillo IT en muy pocos meses. ¡Accede ahora para pedir más información y atrévete a transformar tu futuro!

Carlos Cilleruelo

CEO and co-founder of Byron Labs & Coordinador del Bootcamp en Ciberseguridad.

Posts más leídos

¡CONVOCATORIA ABIERTA!

Ciberseguridad

Full Stack Bootcamp

Clases en Directo | Profesores en Activo | Temario 100% actualizado