Un grupo de investigadores de Dell SecureWorks han desarrollado una herramienta de código abierto y totalmente gratuita para los administradores de sistemas Microsoft Windows. Esta nueva herramienta que han llamado DCEPT (Domain Controles Enticing Password Tripware) permite detectar intentos de intrusión en la red local, e identificar la fuente original del ataque (el ordenador que ha sido infectado).
En las redes de área local en las que tenemos un servidor y clientes con Microsoft Windows, se denomina dominio a un grupo de ordenadores que están registrados en una base de datos central, conocida como controlador de dominio. Este controlador de dominio nos proporcionará los principales servicios de red como DHCP, DNS, permisos para compartir archivos y carpetas etc. En Windows tenemos el denominado Directorio Activo (AD), en el que los administradores podrán gestionar todas las cuentas de usuario, procesos, permisos en los ordenadores finales e incluso en prohibir el acceso a la red si damos de baja el usuario que se intenta conectar.
De manera predeterminada, el sistema operativo Windows almacena en memoria los credenciales de acceso, por lo que los usuarios locales con permisos de administrador pueden extraer estas claves. Cuando un administrador de dominio inicia sesión de forma interactiva (teclado, escritorio remoto etc.) en una estación comprometida, la clave de almacena en la caché de credenciales. Un posible atacante que tenga privilegios de administrador local, puede volcar esta memoria caché y leer la clave fácilmente, por lo que se podría hacer con el control total de la red.
La herramienta DCEPT nos permite configurar un “servidor de claves” para crear credenciales falsas a modo de honeypot, de esta forma si un usuario o proceso malicioso se hace con la clave e intenta usarla, lo sabremos al momento ya que nos saldrá una alerta. El agente DCEPT se encarga de introducir los credenciales falsos en los ordenadores finales, el sniffer DCEPT se encarga de buscar los paquetes de preautenticación de Kerberos destinados al controlador de dominio, si coincide con los credenciales del honeypot alertará al administrador de la red y nos indicará qué estación de trabajo ha intentado conectarse ilegítimamente a nuestro controlador de dominio.
En la página oficial de DCEPT encontraréis toda la información sobre la herramienta, DCEPT es de código abierto y está disponible en el repositorio de GitHub de Dell SecureWorks, además también tendréis disponible instrucciones para la compilación en Windows de la herramienta así como un ejemplo de utilización de la misma. Os recomendamos visitar nuestra sección de Windows y de Seguridad Informática donde encontraréis manuales para proteger tu red local.
Fuente:https://www.redeszone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
