Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosBlog
Herramientas comunes de hackers que complementan Mimikatz

Herramientas comunes de hackers que complementan Mimikatz

Aug 14, 2023

Mimikatz es una herramienta post-explotación popular que los hackers utilizan para el movimiento lateral y la privilege escalation. Aunque Mimikatz es bastante poderoso, tiene algunas limitaciones importantes:

  • Requiere derechos de administrador local en la máquina comprometida.
  • Las organizaciones pueden bloquear la ejecución de Mimikatz activando las protecciones de PowerShell.
  • Usar Mimikatz eficazmente requiere habilidades especializadas y un tiempo considerable.

Como resultado, se han creado otros kits de herramientas para complementar Mimikatz. Este artículo explica cómo tres de ellos — Empire, DeathStar y CrackMapExec — facilitan los ataques para los adversarios.

Imperio

Escalación de Privilegios

Al negar derechos de administrador local a los usuarios estándar, las organizaciones pueden ayudar a prevenir que los atacantes roben credenciales usando Mimikatz. Para sortear esto, los adversarios pueden recurrir a Empire, que incluye varios módulos para escalar privilegios:

  • El módulo BypassUAC ayuda a los hackers a sortear el Control de Cuentas de Usuario (UAC) en sistemas Windows.
  • El módulo GPP aprovecha una vulnerabilidad en las Preferencias de Directiva de Grupo para descifrar contraseñas almacenadas en un objeto de Group Policy (GPO).
  • El módulo PowerUp escanea un sistema en busca de vectores comunes de escalada de privilegios como permisos mal configurados, servicios vulnerables y software sin parchear. La captura de pantalla a continuación muestra este módulo en acción:

En este caso, Empire encontró una vulnerabilidad de secuestro de DLL, la cual un adversario podría explotar utilizando el siguiente comando: powerup/write dllhijacker.

Image

Gestión de Agentes

Empire también proporciona una interfaz fácil de usar que permite a un atacante monitorear e interactuar con agentes desplegados en una red objetivo, como se muestra en la captura de pantalla a continuación. Esta característica de comando y control se hace posible utilizando HTTP con un puerto configurable.

Image

Robo de credenciales

Empire utiliza múltiples enfoques para ayudar a Mimikatz a robar credenciales: Volcará todas las contraseñas y hashes de contraseñas de la memoria, e incluso las presentará en una tabla para facilitar su visualización:

Image

Empire también trabaja con DCSync para robar credenciales de dominios de Active Directory al hacerse pasar por un controlador de dominio y realizar solicitudes de replicación de datos de contraseñas.

DeathStar

DeathStar es un módulo del Imperio que merece su propia discusión. Proporciona un potente motor de automatización que permite a los adversarios ejecutar scripts y otros módulos del Imperio a gran escala.

DeathStar opera de manera similar a otra herramienta de post-explotación llamada BloodHound. Aunque ambas herramientas son utilizadas por profesionales de seguridad y evaluadores de penetración para tareas legítimas, también son mal utilizadas por hackers para propósitos malévolos como reconocimiento de red, escaneo de vulnerabilidades, escalada de privilegios y movimiento lateral. La captura de pantalla a continuación muestra el módulo DeathStar en acción:

Image

CrackMapExec

CrackMapExe (CME) es otra herramienta de post-explotación que resulta ser un poderoso habilitador cuando se integra con Empire y DeathStar.

Reconocimiento de dominio

CrackMapExec simplifica el proceso de reconocimiento para atacantes que han obtenido acceso en un dominio de AD. CME puede enumerar rápidamente la política de password policy del dominio y proporcionar detalles sobre requisitos de complejidad y configuraciones de bloqueo, como se muestra a continuación.

Image

Enumerando objetos de AD

CME también enumerará todos los objetos de AD, incluidos usuarios y grupos, de manera exhaustiva adivinando cada identificador de recurso (RID), como se muestra a continuación. (Un RID es el conjunto final de dígitos en un identificador de seguridad [SID].)

Image

Descubriendo herramientas Anti-Virus

El módulo enum_avproducts de CrackMapExec puede descubrir qué software antivirus está utilizando una organización. La salida a continuación muestra dónde se está ejecutando Windows Defender.

Image

Entendiendo los derechos de una cuenta

Las capacidades de movimiento lateral de CrackMapExec son muy valiosas. Por ejemplo, un adversario puede descubrir todos los hosts en un rango de IP especificado y si una cuenta particular tiene derechos sobre esos hosts, como se muestra aquí:

Image

Cómo Netwrix puede ayudar

Al integrar herramientas como Empire, CrackMapExec y DeathStar con Mimikatz, los actores de amenazas que han obtenido un punto de apoyo en su entorno de Windows obtienen la capacidad de moverse lateralmente y escalar sus privilegios. Aunque hay algunas protecciones básicas de PowerShell que se pueden habilitar para detectar y mitigar este tipo de ataques, dichas protecciones pueden ser fácilmente bypassed por hackers experimentados.

Una forma comprobada de proteger su organización de estos conjuntos de herramientas maliciosas y otros ataques es la Netwrix Active Directory Security Solution. Ayuda a asegurar su Active Directory de principio a fin al permitirle:

  • Identifique y mitigue proactivamente las brechas de seguridad
  • Detecte y responda a amenazas con prontitud
  • Recupérese rápidamente de incidentes de seguridad para minimizar el tiempo de inactividad y otros impactos en el negocio

Con Netwrix Active Directory Security Solution, puede estar seguro de que todas sus identidades de AD y la infraestructura subyacente de AD que las respalda están limpias, correctamente configuradas, continuamente monitoreadas y estrictamente controladas, haciendo así el trabajo de sus equipos de TI más fácil y su organización más segura.

Compartir en

Aprende más

Acerca del autor

Asset Not Found

Joe Dibley

Investigador de seguridad

Investigador de seguridad en Netwrix y miembro del Equipo de Investigación de Seguridad de Netwrix. Joe es un experto en Active Directory, Windows y una amplia variedad de plataformas y tecnologías de software empresarial, Joe investiga nuevos riesgos de seguridad, técnicas de ataque complejas y las mitigaciones y detecciones asociadas.

Aprende más sobre este tema

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

¿Qué es la gestión de registros electrónicos?

Análisis Cuantitativo de Riesgo: Expectativa de Pérdida Anual

Últimos blogs

Los próximos cinco minutos de cumplimiento: construyendo seguridad de datos basada en la identidad a través de APAC

Gestión de configuración para el control seguro de Endpoint

Clasificación de datos y DLP: Prevenga la pérdida de datos, demuestre el cumplimiento

Cumplimiento de CMMC y el papel crítico del control de USB estilo MDM en la protección de CUI

DSPM, ASM y ITDR: Construyendo una estrategia de seguridad consciente de la exposición y basada en datos

De ruido a acción: convirtiendo el riesgo de datos en resultados medibles

IA en el trabajo: Velocidad, riesgo y por qué la simplicidad triunfa

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

Nuestros artículos más destacados

Tipos comunes de dispositivos de red y sus funciones

Cómo ejecutar un script de PowerShell desde el Programador de tareas

Cómo instalar y usar Active Directory Users and Computers (ADUC)?

Descargue e instale PowerShell 7

Los ataques cibernéticos más grandes y notorios de la historia

Comandos esenciales de PowerShell: Una guía rápida para principiantes

Una visión general del ciberataque MGM

Extracción de hashes de contraseñas del archivo Ntds.dit

Guía para montar comparticiones Unix con un cliente NFS de Windows

Cómo los puertos abiertos inseguros y vulnerables representan serios riesgos de seguridad