hacking etico

¿Cómo crear archivos maliciososde tipo RTF yarchivos indetectables por antivirus?

Posted on

El formato RTF siempre ha sido considerado como bastante seguro en comparación con otros formatos de MS Office. Es cierto que RTF no puede contener macros. Sin embargo, se sabe mucho menos que los documentos RTF pueden contener objetos OLE con contenido potencialmente malicioso. Y más específicamente, objetos OLE  pueden almacenar cualquier archivo, incluyendo los ejecutables y scripts según expertos de hacking ético y análisis de vulnerabilidades informáticas. Si el usuario final hace doble clic en un objeto tal, el archivo incrustado será abierto por el sistema. Esta característica se utiliza activamente para entregar el malware en la vida real, como veremos más adelante.

Según los expertos, al hacer una prueba muy rápida utilizando un simple RTF documento con un objeto OLE que contiene el archivo de prueba EICAR: en VirusTotal, 30 de los 56 motores antivirus detectan el archivo EICAR. Esto puede ser sorprendente como cabría esperar 100% de detección. Sin embargo, después de aplicar todos los trucos descritos en este artículo, sólo 6 motores antivirus de 56 detectan algo sospechoso. Pero fuera de esos 6, solo dos realmente detectan el archivo EICAR correctamente. Para los otros 4 informes, el archivo RTF es malformado o alterada.

Estos trucos descritos pueden utilizarse para ocultar cargas maliciosas que no serán recogidos por la mayoría de gateways de correo electrónico, proxy web y sistemas de detección de intrusos. Y ya han sido utilizados para varias campañas de malware acuerdo con las experiencias de expertos de hacking ético y análisis de vulnerabilidades informáticas. Siguientes son algunas técnicas que usted podría usar para insertar contenido potencialmente malicioso en archivos RTF.

Cabecera RTF incompleta

En lugar de comenzar con “{\rtf1” como se describe en las especificaciones de MS, algunas muestras comienzan con “{\rt0” o “{\rtvpn”. Por ejemplo éste (SHA256: 04beed90f6a7762d84a455f8855567906de079f48ddaabe311a6a281e90bd36f):

malwr

MS Word acepta como documentos RTF, mientras que muchas herramientas de análisis sólo verán archivos de texto y no van a analizar como RTF. Por ejemplo, este es el caso de malwr.com, como se muestra en la siguiente captura de pantalla:

malwr_

Se ve como analizador RTF de MS Word sólo busca “{\rt” para decidir si un archivo es realmente RTF.

Impar número de dígitos hexadecimales
Los datos codificados como bytes en formato hexadecimal deben tener siempre un número par de dígitos hexadecimales. Esto puede parecer obvio, pero si se añade un dígito hexadecimal extra al final de los datos hexadecimales codificados, algunos programas de análisis puede fallar durante la descodificación de los datos. Podrían aprender más de esta metodología durante el curso de hacking ético.

Extra espacio en blanco entre hexadecimal dígitos

Datos codificados en hexadecimal producidos por MS Word está perfectamente alineados, con todos los dígitos hexadecimales agrupados. Sin embargo, según pruebas con MS Word, en realidad permite insertar espacios en blanco (incluyendo el espacio, tabulación, nueva línea, etc.) entre los números hexagonales, e incluso entre los dos dígitos hexadecimales que representan un solo byte.

e44

Palabras de control RTF dentro de los datos codificados en hexadecimal

Acuerdo con las pruebas de  análisis de vulnerabilidades informáticas, mirando en la muestra presentado antes, podemos ver que es una palabra de control adicional “{\object}” ubicada dentro de los datos codificados en hexadecimal.

MS Word simplemente ignora cualquier palabra de control inesperado. Para hacerlo aún más complejo para los programas de análisis, esas palabras de control se pueden tener,por ejemplo “{\ foo {} {\ bar}}”.

010

Los datos binarios dentro de los datos codificados en hexadecimal

Otras muestras de RTF, como este contienen una palabra de control “\ bin”, seguido de un montón de ceros y unos caracteres binarios, justo en el medio de un objeto hexagonal codificado. Aunque las especificaciones no mencionan esa posibilidad para los objetos OLE, se ve como MS Word lo soporta. En la práctica, se permite cualquier combinación de datos hex-codificado y binarios menciona Dan Smith, experto de hacking ético y análisis de vulnerabilidades informáticas.

EF_

Las mejores prácticas para pentesting de aplicaciones móviles

Posted on

Estas son algunas de las mejores prácticas para ayudar a luchar contra los ataques cibernéticos  con pruebas de penetración según expertos de análisis de vulnerabilidades informáticas.

Preparación del entorno de pruebas

Las aplicaciones Web se ejecutan en todo tipo de plataformas y navegadores, pero ese no es el caso de las aplicaciones móviles. Por lo tanto, por las pruebas de las aplicaciones un entorno específico debe estar configurado. En el caso de un dispositivo iOS, por ejemplo, será necesario hacer jailbreak al dispositivo, teniendo en cuenta la seguridad impuesto por Apple, lo que no le permitirá observar y analizar o responder al ataque. En el caso de Android, tendríamos que hacer root para tener accesos requeridos según expertos de análisis de vulnerabilidades informáticas.

Configuración de las herramientas

Una vez que el dispositivo esté listo, necesitará algunas herramientas adicionales para ser instaladas para el análisis y la recopilación de información. Estos deben implementarse en el entorno de prueba y el dispositivo. Cydia es la app store de jailbreak iOS, y a través de ella, es posible descargar las herramientas necesarias para las pruebas.

Para el análisis de binarios en Android, podrían usar Android Apktool o una máquina virtual como Android ingeniería inversa es muy recomendable por los expertos de hacking ético.

Preparación de los casos de prueba

En esta fase, la observación de la aplicación en el nivel funcional y el análisis de su comportamiento, incluyendo descifrarlo si la aplicación ha sido ofuscada, es esencial. Según cursos de hacking ético, la extracción de  tipo de marcos que han sido utilizados, tomar notas sobre los siguientes, ayudará a crear un buen modelado de amenazas, aplicando los mismos principios para crear una suite de prueba como se explica en la guía de pruebas de OWASP:

  • Identidad, autenticación y control de acceso como llaveros, los ataques de fuerza bruta, los parámetros templados.
  • Validación de entrada y codificación.
  • Cifrar los campos de contraseña de base de datos SQLite.
  • Administración de usuarios y sesiones como identificadores de sesión, tiempo de bloqueos.
  • Error y manejo de excepciones.
  • Auditoría de registro y los registros de control de acceso.

El análisis de archivos y binarios

Durante esta fase, el objetivo principal es descubrir las llamadas API inseguras y archivos no protegidos adecuadamente con ayuda de metodologías de análisis de vulnerabilidades informáticas. Esto se puede lograr mediante la depuración y el análisis del código usando herramientas como IDA Pro. Desbordamientos de búfer no debe ser descartado. Para descubrir vulnerabilidades, como inyecciones SQL, puede utilizar técnicas como fuzzing la aplicación o la aplicación de insumos maliciosos según expertos de análisis de vulnerabilidades informáticas. Las técnicas utilizadas para descubrir vulnerabilidades en una aplicación nativa son similares a las pruebas de penetración de aplicaciones web con esta diferencia que en lugar de utilizar un proxy para entender el funcionamiento interno de la aplicación, se utiliza el software de depuración.

mobile-application-penetration-testing

Seguridad de la arquitectura cliente-servidor

Cuando la aplicación móvil ha sido diseñada con una arquitectura cliente-servidor, ataques de red son una de las principales preocupaciones según experiencia de profesionales de hacking ético. El uso de rastreadores para capturar el tráfico de red e investigar protección de la capa de transporte es esencial. Otras pruebas que se deben incluir en esta fase son:

Autenticación : Observando la solicitud y respuestas entre el cliente y el servidor, es posible descubrir vulnerabilidades que implican la autenticación. En los casos donde la aplicación está utilizando autenticación básica de HTTP, esto representa un riesgo.

Autorización: Las funciones y los controles de acceso entre ellos pueden ser descubiertos a través de manipulación de parámetro. Asegurar la clave de API correctamente en una carpeta inaccesible puede ser descubierto por el análisis de archivos o por spidering .

Administración de sesiones: Fichas de identificación de sesión enviados a través de métodos GET y colocados en la URL son visibles por proxy o por intercepción del tráfico.

 Encriptación y protocolos débiles: Las aplicaciones móviles son más vulnerables en estas áreas.

Seguridad del servidor de aplicación

Probar la infraestructura, específicamente el servidor que aloja móvil app, requiere herramientas como nmap y la armadura de pruebas de intrusión diseñada para asignar y descubrir posibles vulnerabilidades y amenazas potenciales. También, cargados de archivos sin restricciones, redirección abierta, y la distribución de los recursos  deberían incluirse como parte de las pruebas.

Los desarrolladores móviles también deben ser conscientes de estas técnicas para construir aplicaciones más seguras. Las empresas deben centrarse en la creación de conciencia sobre los riesgos de las aplicaciones móviles vulnerables.

¿Cómo proteger su software o malware contra piratería?

Posted on

Los hackers hacen la vida difícil, incluso para el usuario de Internet más inocente, y es todo gracias a un pequeño truco desagradable llamada ingeniería inversa. Esto es cuando un hacker toma aparte el código que hace un programa, luego busca las vulnerabilidades o explotaciones. Hay una nueva solución de de seguridad está siendo utilizada para proteger contra la ingeniería inversa del software.

Según los expertos de empresa de pruebas de penetración, cuando se elimina malware de una máquina, se produce el mismo proceso. Con los conocimientos de hacking ético y usando técnicas de la ingeniería inversa los expertos excavan en el código del malware y explotan sus vulnerabilidades en contra de él. Sin embargo, ¿qué pasaría si el malware o software tenga un lógico que podría evitar la ingeniería inversa en el sistema? Según Dave Smith, el profesor del curso de hacking ético, hay una metodología que se llama Hardened Anti-Reverse Engineering System (HARES) y con eso es posible evitar ingeniería inversa.

¿Cómo proteger su software o malware contra piratería?

¿Cómo funciona HARES?                                                 

Los expertos de empresa de pruebas de penetración explican que, HARES intenta cifrar el código de programa hasta el momento exacto en que procesador necesita para ejecutar el código, lo que significa que no se puede descifrar y analizar el código mientras que el código está siendo ejecutado. Según Dave Smith, el profesor del curso de hacking ético esto se traduce en un código extremadamente protegido de cualquier hacker que quiere piratear el programa y luego averiguar los fallos de seguridad que se podrían utilizar para su propio beneficio.

Para proteger de las herramientas de ingeniería inversa, HARES utiliza un truco de hardware que funciona con chips de Intel y AMD denomina Translation Lookaside Buffer (or TLB) Split. Eso TLB Split separa la parte de la memoria de una computadora que almacena los datos de programa de la parte donde se almacenan las instrucciones. Todos los partes de la memoria de las instrucciones está encriptado de tal manera que sólo puede ser descifrado con una clave que reside en el procesador de la computadora. Cuando una herramienta de ingeniería inversa lee la memoria de la computadora para encontrar las instrucciones del programa, la división TLB redirige la herramienta a la sección de la memoria que está llena de comandos encriptados, ilegibles mencionan expertos de empresa de pruebas de penetración.

Las protecciones proporcionadas por HARES son: el aumento de la protección de código de un programa contra el análisis estático y significativamente difícil análisis dinámica. Estas protecciones pueden ayudar a prevenir algoritmos sensibles de ser invertidos, así como proteger una aplicación vulnerable contra ciertos tipos de explotaciones.
Según experiencia de empresa de pruebas de penetración, el resultado es una protección resistente al crack de cualquier hacker que le piratean el software, encontrar fallos de seguridad que podrían comprometer a los usuarios e incluso en algunos casos entender sus funciones básicas.

Por supuesto, cualquier herramienta que puede ser usada para el bien de la seguridad cibernética también podría ser usada por hackers para crear malware que son muy difíciles de descifrar y ser analizados. Pueden aprender más sobre HARES durante el curso de hacking ético de IICS.

Hardsploit: Una herramienta como Metasploit para hacking del hardware

Posted on

Adopción de Internet de las cosas (IoT) está ganando impulso, y escuchamos muchas veces que será el desafío más grande implementar seguridad en IoT. Una empresa de seguridad informática ha salido con una herramienta que permitirá a los auditores  de seguridad informática de IoT, dispositivo industrial, sistemas SCADA y productos electrónicos básicos utilizados en la vida cotidiana. Se llama HardSploit y es un marco modular de hardware y software destinado a facilitar una opción por auditoría de los sistemas electrónicos, a los consultores  de hacking ético. En resumen, es una herramienta de hardware hacking.

Módulos de Hardsploit permiten expertos de empresa de seguridad informática interceptar los datos, hacer pruebas, reproducción y enviar datos a través de cada tipo de bus electrónico utilizado por el dispositivo probado. El nivel de interacción que expertos de empresa de seguridad informática tendrán depende de las características del bus electrónico, menciona el experto de hacking ético.
Hardsploit es una herramienta con software y los elementos electrónicos. Es una plataforma técnica y modular (usando FPGA) para realizar pruebas de seguridad en las interfaces de comunicaciones electrónicas de dispositivos integrados.

hardsploit

Módulos de Hardsploit

Las principales funciones de auditoría de hacking ético de dispositivos integrados son:

  • Sniffer, escáner, Proxy, interactuarcon el buselectrónico
  • Dump de Memoria
  • Exploits

Módulos de HardSploit ‘s le permiten analizar toda clase de bus electrónico (tipo serie y paralelo)

  • JTAG, SPI, I2C
  • Direcciónparaleloybus de datosen el chip
  • yotros máspor veniren el futuro (OneWire, UART, etc…)

Función visual de ayuda para cablear

Los expertos de empresa de seguridad informática, no deben preocupar con parte de las pruebas de hacking ético de dispositivos integrados. Los expertos de empresa de seguridad informática sabrán donde tiene que conectar los cables y cómo conectarlas  con la ayuda de función visual de ayuda para cablear. Este módulo ayuda  en conexión de los cables con el dispositivo probado:

  • GUI guía la organización de pin (pin OUT) del chip de dispositivo probado.
  • GUI le guía durante todo el proceso de cableado entre conector de Hardsploit y el dispositivo probado.
  • GUI controla un conjunto de LED que se encienden y se apagan y permiten encontrar el Hardsploit Pin para conectar con el dispositivo probado.

GUI y software asociado

La parte del software de Hardsploit ayuda a llevar a cabo una auditoría de hacking ético de extremo a extremo. Será compatible (integrado) con las herramientas existentes, como Metasploit. Existen API’s para la integración con otras API en el futuro.

HardSploit pretende convertirse en una herramienta de auditoría de hacking ético para la seguridad de Internet de las cosas y Hardware. Pueden aprender más sobre hacking de hardware en el curso de hacking ético de IICS.

APRENDER NUEVO LENGUAJE DE SEGURIDAD INFORMÁTICA: HAKA (PARTE:REGLAS)

Posted on Updated on

haka

En el último artículo aprendimos más acerca de Haka, un lenguaje de seguridad orientado a código abierto con ayuda de expertos de servicios de seguridad informática. http://noticiasseguridad.com/importantes/aprender-nuevo-lenguaje-de-seguridad-informatica-haka/ En este artículo vamos a cubrir como escribir las reglas de seguridad en Haka con ayuda de profesor de hacking ético. Haka ofrece una forma sencilla de escribir reglas de seguridad para filtrar, modificar, crear e inyectar paquetes. Según expertos de auditoría de seguridad informática, cuando se detecta un flujo con algo malicioso, pueden informar los usuarios o pueden dejar el flujo. Los usuarios pueden definir escenarios más complejos para mitigar el impacto de un ataque. Por ejemplo, se puede alterar peticiones http y obligar a los navegadores obsoletos para actualizar o falsificar paquetes específicos para engañar herramientas de análisis de tráfico.

La siguiente regla es una regla de filtrado de paquetes básico que bloquea todas las conexiones de una dirección de red.

local ipv4 = require(“protocol/ipv4”)

local tcp = require(“protocol/tcp_connection”)

local net = ipv4.network(“192.168.101.0/24”)

haka.rule{

hook = tcp.events.new_connection,

eval = function (flow, pkt)

haka.log(“tcp connection %s:%i -> %s:%i”,

flow.srcip, flow.srcport,

flow.dstip, flow.dstport)

if net:contains(flow.dstip) then

haka.alert{

severity = “low”,

description = “connection refused”,

start_time = pkt.ip.raw.timestamp

}

flow:drop()

end

end

}

Las primeras líneas del código cargan los disectores de protocolo, Ipv4 y TCP explica profesor de hacking ético, Mike Stevens. La primera línea se encarga de paquetes IPv4. Después usamos un disector de TCP de estado que mantiene una tabla de conexión y gestiona flujos de TCP. Las siguientes líneas, definen la dirección de red que debe ser bloqueada.

La regla de seguridad se define a través de palabras clave haka.rule. Según experto de servicios de auditoría informática, reglas de haka son muy útiles. Una regla de seguridad está hecha de un gancho y una función de evaluación eval. El gancho es un evento que activará la evaluación de la regla de seguridad. En este ejemplo, la regla de seguridad se evaluará en cada intento de establecimiento de conexión TCP. Los parámetros pasados a la función de evaluación dependen del evento explica el experto de servicios de seguridad informática. En el caso del evento new_connection, eval toma dos parámetros: flow y pkt. Lo primero de ellos tiene detalles sobre la conexión y el segundo es una tabla que contiene todos los campos del paquete TCP.

Según recomendación de profesor de hacking ético, en el núcleo de la regla de seguridad debemos registrar en haka.log primero alguna información acerca de la conexión actual. Luego, comprobamos si la dirección de origen pertenece a la gama de direcciones IP’s no autorizadas. Si la prueba tiene éxito, elevamos una alerta (haka.alert) y liberamos la conexión. Menciona Roberto Talles, experto de auditoría de seguridad informática que tenga en cuenta que se informa sólo algunos detalles de la alerta. Se puede añadir más información, como el origen y el servicio de destino.

Utilizamos hakapcap herramienta para probar nuestra filter.lua regla en un archivo de pcap trace filter.pcap:

$ hakapcap filter.lua filter.pcap

En este artículo vamos a cubrir como escribir las reglas de seguridad en Haka con ayuda de profesor de hacking ético.
Haka

De aquí en adelante, en los resultados sale algo de información sobre disectores cargados y reglas registrados. El resultado muestra que Haka logró bloquear conexiones dirigidas a dirección 192.168.101.62:

En el ejemplo anterior, hemos definido una sola regla para bloquear las conexiones. Uno puede escribir un conjunto de reglas de firewall usando la palabra clave haka.group mencionó profesor de hacking ético. En este caso, la configuración, se puede elegir un comportamiento por defecto (por ejemplo, bloquear todas las conexiones) si ninguno de la regla de seguridad autoriza explícitamente el tráfico.

En el próximo artículo vamos cubrir más sobre inyección de paquetes con la ayuda de expertos de servicios de seguridad informática

Aprender nuevo lenguaje de seguridad informática: HAKA

Posted on

Haka es un lenguaje de seguridad orientado a código abierto que permite especificar y aplicar las políticas de seguridad Informática en el tráfico capturado en vivo. HAKA se basa en Lua y es un lenguaje sencillo, ligero y rápido. El alcance de Haka es doble explican consultores de empresa de seguridad informática y hacking ético. En primer lugar, permite la especificación de las normas de seguridad para filtrar flujos no deseados y reportar actividades maliciosas. Haka proporciona un API simple para la manipulación del tráfico corriente. Uno puede descartar paquetes o crear otros nuevos e inyectarlos. Haka también apoya la modificación de paquetes en la marcha. Esta es una de las principales características de Haka desde todas las tareas complejas tales como el cambio de tamaño de paquetes, ajuste correctamente de los números de secuencia. Esto se hace en vivo sin la necesidad de un proxy y se realiza todo de forma transparente para el usuario.

En segundo lugar, Haka permite la especificación de protocolos y estado subyacente de todo. Haka es compatible con ambos tipos de protocolos: protocolos basados en binario (por ejemplo, DNS) y protocolos basados en texto (por ejemplo, http). La especificación cubre los protocolos basados en paquetes, tales como IP, así como los protocolos basados en secuencias como http.

 Según consultores de empresa de seguridad informática y hacking ético, HAKA se encaja en un marco modular. Incluye varios módulos de captura de paquetes (pcap, nfqueue) que permiten a los usuarios finales a aplicar su política de seguridad informática en el tráfico capturado vivo. El marco proporciona el registro (syslog) y alerta de módulos (Syslog, Elasticsearch). Por último, el marco tiene módulos auxiliares, tales como un motor de búsqueda de patrones y un módulo de desensamblador de instrucciones. Estos módulos permiten escribir las reglas de seguridad informática de grano fino para detectar malware ofuscado. Haka fue diseñado de manera modular, permitiendo a los usuarios a ampliarlo con módulos adicionales.

Haka proporciona una colección de cuatro herramientas importantes para consultores de empresa de seguridad informática y hacking ético:

haka

 haka. Es el programa principal de la colección. Está diseñado para ser utilizado como un daemon para controlar los paquetes en el fondo. Los paquetes son disecados y filtrados de acuerdo con el archivo de políticas de seguridad especificadas. Haka toma como entrada un archivo de configuración. Este archivo script se carga disectores de protocolo típicamente incorporados o definidos por el usuario y define un conjunto de reglas de seguridad.

hakactl. Esta herramienta permite controlar daemon. Uno puede obtener estadísticas en tiempo real en los paquetes capturados, inspeccionar los registros o simplemente apagar/reiniciar el daemon.

hakapcap. Esta herramienta permite reproducir un archivo de política en una captura de paquetes utilizando el módulo pcap. Por ejemplo, esto es útil para realizar análisis forense y hacking ético de la red.

hakabana. Esta herramienta permite la visualización y monitoreo de tráfico de red en tiempo real utilizando Kibana y Elasticsearch según expertos de empresa de seguridad informática. Hakabana consiste en un conjunto de reglas de seguridad que lleva información sobre el tráfico que pasa a través de Haka en un servidor de elastisserach y muestra a través de una consola Kibana. Un panel adicional también está disponible para visualizar alertas de Haka.

Vamos a cubrir eso en próximo artículo más sobre Haka con ayuda de unos expertos de hacking ético

Hacking y explotación de permisos de Active Directory

Posted on

Hacking y explotación de  permisos de Active Directory

PowerView es una herramienta de PowerShell para obtener información situacional de la red en dominios de Windows para profesionales de hacking ético y servicios de auditoría de seguridad informática. Contiene un conjunto de comandos PowerShell para varios “net *” comandos de windows, los cuales utilizan ganchos de PowerShell AD y las funciones de API de Win32 para llevar a cabo la útil funcionalidad de dominio de Windows explica expertos de servicios de seguridad informática.

Según los profesionales de hacking ético e investigadores de servicios de auditoría de seguridad informática PowerView implementa varios metafunciones útiles, incluyendo algunas funciones por cazar usuarios que se identifican donde los usuarios específicos se registran en la red. También puede comprobar cuál de las máquinas en el dominio tiene acceso de administrador local. Además existen varias funciones para la enumeración y el abuso de confianzas de dominio. Podemos ver descripciones de las funciones para el uso apropiado y las opciones disponibles en la herramienta.

Para ejecutar en una máquina, iniciar PowerShell con ” by-pass -exec powershell ” y luego cargar el módulo PowerView con: PS > Import-Module.\powerview.psm1 o carga el script PowerView por sí mismo: PS> Import-Module.\powerview.ps1

Para el resultado detallado de la funcionalidad, pase la bandera -Debug a la mayoría de las funciones. Para funciones que enumeran varias máquinas, pase la bandera -Verbose para obtener un estado de avance que cada host se enumera. La mayoría de las funciones de “meta” acepta un conjunto de hosts acuerdo con profesor de hacking ético y auditoría de seguridad informática.

Cómo utilizar PowerView para explotar Active directory

AdminSDHolder es un objeto de Active Directory especial situado en el “CN = AdminSDHolder, CN = System, DC = domain, DC = com”. El propósito de este objeto es proteger ciertas cuentas privilegiadas de modificaciones accidentales. Cada 60 minutos, un proceso especial denominado SDProp recurrentemente enumera la pertenencia de un conjunto de grupos protegidos, comprueba las listas de control de acceso para todas las cuentas descubiertas, y clona las ACL del objeto AdminSDHolder a cualquier objeto protegido con ACL diferente acuerdo con profesor de hacking ético.

Cualquier cuenta o grupo que es (o era) parte de un grupo protegido tiene su característica  AdminCount a 1, incluso si el objeto se mueve fuera de ese grupo protegido. Con PowerView, usted puede fácilmente enumerar todos los usuarios y grupos con AdminCount = 1 con Get-User-AdminCount y Get-NetGroup – AdminCount, respectivamente. Esto le permite encontrar rápidamente todas las cuentas de alto valor, incluso si ha mudado fuera de un grupo protegido. Invoke UserHunter también acepta una bandera – AdminCount, permitiéndole cazar fácilmente a todos los usuarios valorados alto en el dominio.

Si modifica los permisos AdminSDHolder, esa plantilla de permiso será empujada a todas las cuentas protegidas automáticamente por SDProp explica experto de servicios de seguridad informática. Así que usted puede añadir un usuario sin privilegios (incluso sin la pertenencia al grupo) a la ACL de AdminSDHolder y tienen un mecanismo de puerta trasera que permite modificar la pertenencia a grupos como dominio y administradores de la red.

Los accesos de Active Directory es un área relativamente inexplorada de desde una perspectiva ofensiva. Los defensores deben comenzar auditoría y monitoreo de los derechos de los objetos de dominio privilegiado específico, sobre todo la raíz del dominio y AdminSDHolder. Esto se puede hacer de forma manual o  a través de PowerView Get-ObjectACL  o tomar ayuda de expertos de servicios de seguridad informática.