La defensa del patrimonio tecnológico
frente a los ciberataques
10 y 11 de diciembre de 2014
www.ccn-cert.cni.es © 2014 Centro Criptológico Nacional
C/Argentona 20, 28023 MADRID
Homeland
VIII JORNADAS STIC CCN-CERT
Intro
•Directorio Activo en la actualidad
•Ciclo de vida de una intrusión
Access
•Arquitectura del servicio
•Tipos de ataques
Remediation
•Lecciones aprendidas
•Conclusiones
VIII JORNADAS STIC CCN-CERT
Introducción
•Directorio Activo en la actualidad:
•Servicio de gestión y almacenamiento de datos
•Centraliza el control de los recursos de red
•Centraliza y descentraliza la administración de recursos
•Almacena objetos de manera segura en una estructura lógica
•Optimiza el tráfico de red
VIII JORNADAS STIC CCN-CERT
Introducción
•Directorio Activo en la actualidad:
•Un alto porcentaje de proyectos exige la integración en AD
•Su seguridad disminuye con el tiempo
•Software de terceros, mala configuración, etc..
•Uno de los servicios menos auditados
•Blanco perfecto para ataques de todo tipo
VIII JORNADAS STIC CCN-CERT
Introducción
9
The virus erased data on three-quarters of Aramco’s corporate PCs — documents,
spreadsheets, e-mails, files — replacing all of it with an image of a burning American flag.
“… I wouldn’t say the vendor had AD credentials but that the internal
administrators would use their AD login to access the system from
inside. This would mean the sever had access to the rest of the
corporate network ...”
VIII JORNADAS STIC CCN-CERT
Access: Usuarios
Equipos
Power: Controladores
de dominio
Data: Servidores
Aplicaciones
¿Qué ocurre realmente? 1. Objetivos en masa
2. Usuarios con altos privilegios son
el principal objetivo
3. Buscan credenciales “de lo que
sea”
4. Búsqueda de credenciales
cacheadas, cuentas de acceso a
dominio, correo electrónico, etc..
5. Si logran acceder al DC principal,
la empresa está perdida
VIII JORNADAS STIC CCN-CERT
DNS Record Types
•SOA = Start of Authority
•NS = Name Server
•A = Address (Host)
•CNAME = Canonical Name (Alias)
•MX = Mail Exchanger
•SRV = Service Locator
•TXT = Text Data
VIII JORNADAS STIC CCN-CERT
Descubrimiento de servicios
•Registros de servicio SRV
•Publicación de servicio a través de DNS
•_servicio._protocolo.hostname
•Obligatorio a partir de W2K
•Ej LDAP
•_ldap._tcp.CCNCERT.local
•_ldap._tcp.CCNCERT.com
VIII JORNADAS STIC CCN-CERT
Configuraciones por defecto
• Permite a un usuario sin privilegios
• Acceder al árbol de objetos (Read Only)
• Consulta de atributos de casi cualquier objeto
•Usuario
• Equipo
• Servicio
• Impresora
•Unidad Organizativa
• Sitios
• Etc, etc..
VIII JORNADAS STIC CCN-CERT
Uso indebido de características
•Preferencias de grupo • Característica de Windows
Server 2008
• Permite configurar a golpe
de clic
• Credenciales cifradas con
AES
VIII JORNADAS STIC CCN-CERT
Uso indebido de características
• AdminSDHolder
• Encargado de proteger cuentas críticas
• Previene contra cambios
• Domain Admins tienen control total
• Puede requerirlo un proyecto de terceros
• Cambio de contraseñas
• Gestión de AD
• Etc…
VIII JORNADAS STIC CCN-CERT
Configuraciones por defecto
•El ecosistema Microsoft es una gran API
•WMI
•Jscript
•VBScript
•Powershell
• .NET
•Perl
•Etc…
VIII JORNADAS STIC CCN-CERT
Conclusiones
•Audita tu infraestructura
•Versiones modernas de AD son muy seguras
•Necesidad de bastionado
•Security Configuration Wizard
•Políticas de grupo
•Cumplimiento del mínimo privilegio
•Restricción de OU
•Restricción de consulta de atributos
VIII JORNADAS STIC CCN-CERT
Cuentas
Auditoría
Unidades organizativas
Sitios
Despliegue de software
Ubicación física de servidores
Políticas de grupo
Plan de implantación del Directorio Activo.
Planificación de Directorio Activo
Conclusiones
Síguenos en Linked in
E-Mails
Websites
www.ccn.cni.es
www.ccn-cert.cni.es
www.oc.ccn.cni.es