M05: Seguretat Informàtica · Unitat 4

Domini i Kerberos
Moviment Lateral

Conquerint el "Cervell" de l'organització (Active Directory)

TEORIA · PIVOTATGE A LA XARXA

SECCIÓ 4: Domini, Kerberos i Moviment Lateral

Un cop compromès un equip i elevats els privilegis a la màquina local, l'atacant ja no busca dades en un sol disc dur, sinó que intenta conquerir el "Cervell" de l'organització: el Controlador de Domini (DC). Aquest procés de saltar d'una màquina a una altra s'anomena Island Hopping o Moviment Lateral.

Diagrama: Estructura d'Active Directory

El repositori centralitzat d'objectes i permisos.

Explorar: Fonaments d'Active Directory

🔑 Fonaments de l'Active Directory (AD)

L'Active Directory gestiona tots els objectes de la xarxa des d'un servidor central.

Controlador de Domini (DC)

El servidor que valida qui pot entrar a la xarxa i gestiona els serveis de domini.

Objectes i Grups

Els privilegis de Domain Admins permeten el control total sobre tot el domini.

🛡️ El Protocol Kerberos: L'estàndard de Seguretat

Kerberos es basa en l'ús de tiquets per evitar l'enviament de contrasenyes per la xarxa.

  • TGT (Ticket Granting Ticket): El tiquet mestre que s'obté al iniciar sessió i es guarda a la RAM (LSASS).
  • KDC (Key Distribution Center): El servei del DC que emet aquests tiquets.

L'Avantatge per a l'atacant: Robar un TGT permet suplantar l'administrador sense saber mai la seva contrasenya real.

Flux Kerberos
Procés: Flux d'Autenticació Kerberos images/teoriam05/hash_concept.png
Metodologia: Atacs a Kerberos — HackTricks

🚀 Tècniques de Moviment Lateral Avançat

Per saltar cap al Controlador de Domini s'utilitzen principalment dues metodologies:

A. Pass-The-Ticket (PtT)

Tècnica sigil·losa que utilitza eines com Rubeus per extreure tiquets Kerberos de la memòria i injectar-los en la sessió de l'atacant.

B. Pass-The-Hash (PtH)

S'utilitza quan tenim el Hash NTLM. S'envia directament per autenticar-se via SMB o WMI (eines com wmiexec).

Característica Pass-The-Hash (PtH) Pass-The-Ticket (PtT)
Material usat Hash NTLM Tiquet Kerberos (TGT/TGS)
Protocol SMB / RPC / WMI Kerberos (Natiu d'AD)
Visibilitat Alta (logs NTLM) Baixa (trànsit legítim)
Persistència Validesa del hash Caducitat del tiquet

🔍 Reconeixement amb BloodHound

Si la xarxa és gran, l'atacant no sap on saltar. BloodHound utilitza la teoria de grafs per dibuixar visualment el "camí d'atac" més curt mitjançant peticions LDAP.

Interfície BloodHound
Visualització: Graf de camins d'atac images/teoriam05/passwords_search.png
Veure eina: BloodHound Project
💡

Info Callout: El perill de les sessions oblidades

Si un administrador inicia sessió en una estació de treball i bloqueja la pantalla en lloc de tancar la sessió, el seu TGT queda exposat a la memòria LSASS, a punt per ser extret amb un simple Rubeus.exe dump.

🗂️ Resum de la Secció 4

Objectiu

Moviment lateral cap al Controlador de Domini.

Mètodes

Pass-The-Ticket (Kerberos) i Pass-The-Hash (NTLM).

Eines

Rubeus, BloodHound, PowerView, WMIexec.