Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosBlog
¿Qué es un ataque DCSync?

¿Qué es un ataque DCSync?

Nov 30, 2021

DCSync es un ataque que permite a un adversario simular el comportamiento de un controlador de dominio (DC) y recuperar datos de contraseñas a través de la replicación de dominio. El uso clásico de DCSync es como precursor de un ataque de Golden Ticket ya que puede utilizarse para recuperar el hash de KRBTGT.

Específicamente, DCSync es un comando en la herramienta de código abierto Mimikatz. Utiliza comandos en el Directory Replication Service Remote Protocol (MS-DRSR) para simular el comportamiento de un controlador de dominio y solicitar a otros controladores de dominio que repliquen información, aprovechando funciones válidas y necesarias de Active Directory que no pueden ser desactivadas o deshabilitadas.

Contenido relacionado seleccionado:

El proceso de ataque

El ataque DCSYNC funciona de la siguiente manera:

  1. El atacante descubre un controlador de dominio para solicitar replicación.
  2. El atacante solicita la replicación de usuario utilizando el GetNCChanges
  3. El DC devuelve los datos de replicación al solicitante, incluyendo los hashes de contraseñas.
Image

Derechos Requeridos

Se requieren algunos derechos muy privilegiados para ejecutar un ataque DCSync. Dado que normalmente toma algo de tiempo para que un atacante obtenga estos permisos, este ataque se clasifica como un ataque de cadena de eliminación en etapa tardía.

Generalmente, los Administradores, Domain Admins y Enterprise Admins tienen los derechos necesarios para ejecutar un ataque DCSync. Específicamente, se requieren los siguientes derechos:

  • Replicando cambios en el directorio
  • Replicando cambios en todos los Directory Management

Replicando cambios en el conjunto filtrado de Directory Management

Image

Cómo las soluciones de Netwrix pueden ayudarte a detectar y frustrar ataques DCSync

Detección

Netwrix Threat Manager monitorea todo el tráfico de replicación de dominios en busca de señales de DCSync. No depende de registros de eventos ni de captura de paquetes de red. Su principal método de detección es encontrar patrones de comportamiento que coincidan con DCSync, incluyendo la actividad de replicación entre un controlador de dominio y una máquina que no es un controlador de dominio.

La solución ofrece un resumen claro de la actividad sospechosa, así como una visualización que ilustra qué usuario perpetró el ataque, el dominio y el usuario objetivo, y pruebas de apoyo del ataque. Si el mismo usuario ejecuta múltiples ataques DCSync, esta información crítica también se incluirá.

Respuesta

Para ejecutar DCSync, un atacante necesita privilegios elevados, por lo que la clave para frustrar un ataque es bloquear inmediatamente la escalada de privilegios. La respuesta estándar del manual de procedimientos de deshabilitar la cuenta de usuario puede no ser suficiente, ya que para cuando detectes el ataque en progreso, es probable que el atacante ya tenga a su disposición una serie de otros recursos y opciones.

Netwrix Threat Prevention proporciona políticas de bloqueo que pueden prevenir que una cuenta o estación de trabajo ejecute replicación adicional, lo cual puede ralentizar un ataque y dar a los respondedores más tiempo para eliminar completamente la amenaza.

Netwrix Threat Manager apoya estos pasos de respuesta proporcionando detalles sobre el perpetrador del ataque DCSync, las fuentes, los objetivos y los objetos consultados.

Vea Netwrix Threat Manager en Acción

Compartir en

Aprende más

Acerca del autor

Asset Not Found

Kevin Joyce

Director de Product Management

Director de Product Management en Netwrix. Kevin tiene una pasión por la ciberseguridad, específicamente en comprender las tácticas y técnicas que los atacantes utilizan para explotar los entornos de las organizaciones. Con ocho años de experiencia en product management, enfocándose en Active Directory y la seguridad de Windows, ha llevado esa pasión a ayudar a construir soluciones para que las organizaciones protejan sus identidades, infraestructura y datos.

Aprende más sobre este tema

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

¿Qué es la gestión de registros electrónicos?

Expresiones Regulares para Principiantes: Cómo Empezar a Descubrir Datos Sensibles

Compartir externamente en SharePoint: Consejos para una implementación prudente

Confianzas en Active Directory

Últimos blogs

Los próximos cinco minutos de cumplimiento: construyendo seguridad de datos basada en la identidad a través de APAC

Gestión de configuración para el control seguro de Endpoint

Clasificación de datos y DLP: Prevenga la pérdida de datos, demuestre el cumplimiento

Cumplimiento de CMMC y el papel crítico del control de USB estilo MDM en la protección de CUI

DSPM, ASM y ITDR: Construyendo una estrategia de seguridad consciente de la exposición y basada en datos

De ruido a acción: convirtiendo el riesgo de datos en resultados medibles

IA en el trabajo: Velocidad, riesgo y por qué la simplicidad triunfa

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

Nuestros artículos más destacados

Tipos comunes de dispositivos de red y sus funciones

Cómo ejecutar un script de PowerShell desde el Programador de tareas

Cómo instalar y usar Active Directory Users and Computers (ADUC)?

Descargue e instale PowerShell 7

Los ataques cibernéticos más grandes y notorios de la historia

Comandos esenciales de PowerShell: Una guía rápida para principiantes

Una visión general del ciberataque MGM

Extracción de hashes de contraseñas del archivo Ntds.dit

Guía para montar comparticiones Unix con un cliente NFS de Windows

Cómo los puertos abiertos inseguros y vulnerables representan serios riesgos de seguridad