Captura y reutilización de credenciales
Captura y reutilización de credenciales desde memoria, tráfico de red, servicios mal configurados y almacenamiento inseguro.
Pruebas de Red Interna y Active Directory
Vea su entorno interno a través de los ojos de un atacante y comprenda hasta dónde podría propagarse realmente un compromiso.
El compromiso es inevitable. El movimiento lateral no tiene por qué serlo.
Una vez que un atacante obtiene acceso a un solo puesto de trabajo o servidor, la fortaleza de sus controles internos determina hasta dónde puede pivotar. Las pruebas de red interna y Active Directory revelan los verdaderos caminos de movimiento lateral y las oportunidades de escalada de privilegios en su entorno.
Los consultores de Cyber Defence simulan un atacante interno realista, comenzando desde un contexto de usuario estándar o un host comprometido, y mapean cómo las credenciales, configuraciones incorrectas y relaciones de confianza pueden ser aprovechadas para alcanzar sistemas y datos de alto valor.
En qué nos centramos
Las pruebas internas suelen incluir:
• Diseño y configuración de Active Directory
• Endurecimiento de estaciones de trabajo y servidores
• Higiene de credenciales locales y de dominio
• Segmentación de red y controles de acceso
• Técnicas y herramientas de movimiento lateral
• Exposición de datos sensibles en recursos compartidos internos
Las pruebas pueden realizarse desde un contexto de usuario estándar, un escenario de brecha asumida, o un enfoque combinado según sus objetivos.
Técnicas
Técnicas que utilizamos durante las pruebas internas
Aplicamos una amplia gama de técnicas extraídas de la experiencia de red team y del marco MITRE ATT&CK.
Kerberoasting y AS-REP roasting
Identificación de cuentas de servicio débiles y cuentas sin pre-autenticación para obtener hashes vulnerables a crackeo.
Rutas de escalada de privilegios
Abuso de pertenencia a grupos locales, servicios mal configurados y ACLs para obtener acceso elevado.
Mapeo de movimiento lateral
Uso de herramientas administrativas estándar y técnicas de atacante para moverse entre hosts y segmentos.
Análisis de errores de configuración en AD
Revisión de trusts, delegaciones, políticas de grupo y membresías de grupos privilegiados para detectar rutas de abuso.
Descubrimiento de datos y pruebas de acceso
Localización de información sensible en recursos compartidos y sistemas para entender la exposición potencial de datos.
Flujo típico de compromiso interno / AD
-
1. Punto de partida
Comenzamos desde un contexto definido – por ejemplo, una estación de trabajo de usuario estándar o un servidor comprometido – acordado durante el alcance.
-
2. Enumeración y conocimiento situacional
Identificación de dominios, hosts, usuarios, grupos y servicios clave utilizando herramientas nativas y utilidades de evaluación especializadas.
-
3. Análisis de credenciales y privilegios
Búsqueda de credenciales reutilizables y oportunidades de escalada de privilegios en estaciones de trabajo, servidores y Active Directory.
-
4. Movimiento lateral y pruebas de objetivos
Desplazamiento por el entorno, orientado a objetivos acordados, como administrador de dominio, almacenes de datos específicos o sistemas clave.
-
5. Informes y guía de endurecimiento
Documentación de rutas, debilidades y errores de configuración, con pasos concretos para mejorar el endurecimiento y la monitorización.
Comprenda su verdadera exposición interna
Si un atacante llegara a una sola estación de trabajo, ¿hasta dónde podría llegar? Una prueba interna y enfocada en AD le dará una respuesta basada en evidencia.
Alineado con mejoras de detección y endurecimiento
Los hallazgos de las pruebas internas y de AD son ideales como insumo para ingeniería de detección SOC365, listas de vigilancia de Threat Intelligence y programas de endurecimiento. Le ayudamos a transformar conocimientos ofensivos en mejoras defensivas a largo plazo, en lugar de un informe puntual.