Técnicas para el movimiento lateral en Windows

¿Conoces alguna de las técnicas para el movimiento lateral en Windows? El movimiento lateral es la actividad maliciosa de un atacante una vez ha logrado infiltrarse en la red de una organización o sistema informático. Después de comprometer un punto de entrada inicial, como un servidor o un ordenador, el atacante intenta extender su acceso y control a otros sistemas dentro de la red.

Podemos usar diferentes procedimientos y herramientas para llevar esto a cabo; por eso, en este artículo, te mostraremos algunas técnicas para el movimiento lateral en Windows.

Técnicas para el movimiento lateral en Windows

El término movimiento lateral se utiliza en el ámbito de la seguridad informática para describir el movimiento de un atacante dentro de una red, una vez ha comprometido un sistema inicial.

Algunas de las técnicas para el movimiento lateral en Windows son:

Shell interactiva mediante SMB

#Técnicas para el movimiento lateral en Windows
#Primera forma: $ winexe -U <dominio> / <usuario> % <password> // <IP> cmd
#Segunda forma: $ impacket - psexec <dominio> / <usuario> : <password> @ <IP>

Veamos los argumentos de la primera forma:

• -U <dominio> / <usuario> % <password>: estos parámetros se utilizan para especificar las credenciales de autenticación necesarias para acceder al sistema.
  • <dominio> representa el nombre del dominio al que pertenece el usuario.
  • <usuario> es el nombre de usuario.
  • <password> es la contraseña asociada a ese usuario.
  • Los símbolos / y % se utilizan para separar el nombre de usuario y la contraseña.
• // <IP>: esta parte del comando se utiliza para especificar la dirección IP del sistema Windows remoto al que se desea acceder. El símbolo // se utiliza como prefijo para indicar que se trata de una dirección IP.
• cmd: es el comando que se ejecutará en el sistema remoto. En este caso, se está ejecutando el comando «cmd», que es el intérprete de comandos de Windows. Esto abrirá una ventana de comandos en el sistema remoto, lo que permite ejecutar comandos adicionales.

Ahora los argumentos de la segunda forma:

• -psexec: este argumento especifica el método de ejecución remota que se utilizará. En este caso, se está utilizando el protocolo PSExec, que permite la ejecución de comandos en sistemas remotos de Windows.
• <dominio> / <usuario> : <password>: al igual que en el caso anterior, estos argumentos se utilizan para especificar las credenciales de autenticación necesarias para acceder al sistema remoto.
• @ <IP>: este argumento se utiliza para especificar la dirección IP del sistema remoto al que se desea acceder y ejecutar los comandos.

Shell no interactiva

#Técnicas para el movimiento lateral en Windows
$ impacket - smbexec <dominio> / <usuario> : <password> @ <IP>

Los argumentos de este código son los siguientes:

• -smbexec: especifica que se utilizará el comando «smbexec» para ejecutar acciones en el sistema remoto.
• <dominio> / <usuario> : <password>: tiene la misma función que en los casos anteriores:
  • <dominio>: especifica el dominio al que pertenece el usuario.

Shell mediante WMI o ejecutar comandos – Shell no interactiva (Sin agente/servicio)

#Técnicas para el movimiento lateral en Windows
$ impacket - wmiexec <dominio> / <usuario> : <password> @ <IP>

Este comando utiliza la herramienta impacket para ejecutar comandos en un sistema remoto a través del protocolo SMB. Para ello, emplea las credenciales de autenticación especificadas para acceder al sistema remoto.

Escritorio remoto con recurso compartido para ficheros

#Técnicas para el movimiento lateral en Windows
$rdesktop -d <dominio> -u <usuario> -p <password> <IP> -r disk : share = /root /myshare

Veamos los argumentos:

• -d <dominio>: especifica el dominio al que pertenece el usuario para la autenticación en el escritorio remoto.
• -u <usuario>: especifica el nombre de usuario utilizado para la autenticación en el escritorio remoto.
• -p <password>: representa la contraseña asociada al usuario para la autenticación en el escritorio remoto.
• -r disk:share=/root/myshare: este argumento se utiliza para redirigir una carpeta local en la máquina local hacia el sistema remoto. En este caso, la carpeta /root/myshare en la máquina local se redirigirá al sistema remoto como disk:share. Esto permite acceder y utilizar archivos ubicados en la carpeta compartida local en el escritorio remoto.

¿Quieres seguir aprendiendo?

Es de suma importancia conocer las técnicas para el movimiento lateral en Windows que pueden utilizar los ciberatacantes para vulnerar nuestros sistemas, ya que esto nos va a servir para crear medidas preventivas. Ahora, si quieres seguir aprendiendo para brindarle la protección adecuada a tus sistemas, no te pierdas nuestro Ciberseguridad Full Stack Bootcamp. Con la guía de esta formación de alta intensidad y el acompañamiento de nuestros profesores expertos, en pocos meses aprenderás todo lo necesario para impulsar tu carrera en el mundillo IT y destacar en el mercado laboral. ¡Entra para solicitar información ya mismo y transforma tu futuro!