Análisis de las técnicas utilizadas recientemente por adversarios para atacar entornos de Directorio Activo

Abstract

Este trabajo tiene como objetivo analizar las tácticas, técnicas y procedimientos más utilizadas por adversarios en la actualidad en entornos de Directorio Activo. Los entornos de Directorio Activo son un objetivo clave para los actores de amenazas debido a su papel central en la gestión de identidades y accesos en las organizaciones. Si estos ataques tienen éxito pueden suponer el robo de información confidencial o el secuestro de datos privados mediante un ransomware, con las consecuencias económicas, estratégicas y reputacionales derivadas. Para una mayor comprensión de las técnicas utilizadas por los adversarios, se ha creado un laboratorio virtual donde se han emulado. Esto ha permitido ver las formas en que un adversario puede atacar un entorno de Directorio Activo, algunas herramientas que utilizan y que rastro dejan esas técnicas para poder detectar su uso. También se han comentado diferentes mitigaciones existentes para estos ataques. Para caracterizar las tácticas y técnicas utilizadas por los adversarios se ha usado el framework MITRE ATT&CK, con el fin de seguir un marco común que pueda ser entendido entre organizaciones. Los resultados de este trabajo pueden ser utilizados por los equipos de ciberseguridad de empresas y organismos para comprender parte de las amenazas actuales en entornos de Directorio Activo y saber como defenderse ante ellas.

This paper aims to analyze the tactics, techniques and procedures most commonly used by adversaries in Active Directory environments today. Active Directory environments are a key target for threat actors due to their central role in identity and access management in organizations. If successful, these attacks can involve the theft of sensitive information or the hijacking of private data using ransomware, with the resulting economic, strategic and reputational consequences. For a better understanding of the techniques used by adversaries, a virtual laboratory has been created where they have been emulated. This has allowed to see the ways in which an adversary can attack an Active Directory environment, some of the tools they use and the traces left by these techniques in order to detect their use. Different existing mitigations for these attacks have also been discussed. To characterize the tactics and techniques used by adversaries, the MITRE ATT&CK framework has been used, in order to follow a common framework that can be understood across organizations. The results of this work can be used by corporate and organization cybersecurity teams to understand some of the current threats in Active Directory environments and how to defend against them.