Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
▼
2022
(Total:
967
)
-
▼
octubre
(Total:
59
)
- LinkedIn detectará perfiles falsos
- Telefónica sufre un ciberataque y recomienda cambi...
- Disponible distro Zorin OS 16.2
- Kodi 20 Nexus
- Es posible saber la ubicación en app's de mensajer...
- Musk despide al CEO y varios ejecutivos de Twitter
- Grave vulnerabilidad en SQLite desde hace 22 años
- Navegador Brave bloquea por defecto el molesto avi...
- Tras 9 años, ya disponible nueva versión de MemTes...
- Final de soporte para Google Chrome en Windows 7 y...
- Cuenta de usuario sin permisos de administrador en...
- Cables submarinos de Internet, ¿próximo objetivo d...
- PC Manager es la nueva herramienta de limpieza de ...
- Venus es un nuevo ransomware que se aprovecha del ...
- Récord de transferencia de datos: ⚡ 1,84 petabits ...
- Tras el Hackeo al Ministerio de Salud Argentino: p...
- Grupo Black Reward hackea una planta de energía nu...
- Recuperar archivos borrados en Android
- Recuperar cuentas hackeadas
- Europa prohibirá la venta de televisores 8K por su...
- Detenido un nigeriano por estafar a una mujer alic...
- Disponible Asterisk 20, versión LTS de la centrali...
- Android 13 Go edition requiere de 2GB de RAM y 16G...
- Asistentes al Mundial de Fútbol de Qatar deberán i...
- Tails 5.5, nueva versión del ‘amnesic incognito li...
- El 40% de los chips que China exporta a Rusia son ...
- Detenido en Brasil un sospechoso vinculado al grup...
- Microsoft expone por error los datos de 65 mil ent...
- Un soldado, tras las pruebas con las gafas de comb...
- Firefox 106 con edición de PDF y mejoras en los so...
- KataOS, el OS open source de Google para dispositi...
- Google implementa sistema Passkey (sin contraseña)...
- Las nuevas RTX 4090 permiten crackear contraseñas ...
- Google Chrome introducirá una característica para ...
- YoWhatsApp y el gran peligro de las apps modificadas
- Microsoft presenta Surface Pro 9 con Intel o ARM 5...
- Phishing-as-a-Service: Caffeine
- Detectar y prevenir volcados de credenciales LSASS...
- Windows 7 sigue siendo más usado que Windows 11 en...
- Ya disponible VirtualBox 7.0
- Alemania destituye al jefe de la ciberseguridad al...
- Ransomware por suscripción (as a Service) RaaS
- Toyota sufre una filtración de datos
- Grupo KillNet realiza ataques DDoS a webs de aerop...
- Hackean la televisión estatal de Irán
- Google Chrome es el navegador con más vulnerabilid...
- Localizar y bloquear ordenador portátil robado o p...
- Ferrari sufre un ciberataque de ransomware y le ro...
- Ciberataque de ransomware afecta a hospitales y am...
- Google presenta oficialmente Google Pixel 7 y 7 Pro
- El exjefe de seguridad de Uber declarado culpable ...
- Elon Musk, al final, acepta comprar Twitter sin mo...
- Versión troyanizada del navegador Tor en popular c...
- El videojuego OverWatch 2 sufre un ataque DDoS el ...
- Bot de PornHub para evitar el abuso sexual infantil
- Malware multiplataforma Chaos infecta dispositivos...
- Vulnerabilidad 0-day en Exchange explotada activam...
- Confirmado: tres periodistas de México fueron espi...
- Grupo Guacamaya hackeó SEDENA (Secretaría de la De...
- ► septiembre (Total: 72 )
-
▼
octubre
(Total:
59
)
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Arm Holdings Plc es una empresa británica dedicada al diseño de software y semiconductores . Con sede en Cambridge, Reino Unido, tiene una ...
-
Dado que Unbound DNS en OPNsense no soporta DNS sobre HTTPS (DoH) directamente, fue necesario utilizar el plugin DNSCrypt-Proxy. El plugin t...
Detectar y prevenir volcados de credenciales LSASS en Windows
Obtener las credenciales del sistema operativo del usuario es uno de los principales objetivos de los actores de amenazas porque estas credenciales sirven como puerta de entrada y permiten movimiento lateral. Una técnica que utilizan los atacantes es apuntar a las credenciales en la memoria del proceso Local Security Authority Subsystem Service (LSASS) de Windows porque puede almacenar no solo las credenciales del sistema operativo de un usuario actual, sino también las de un administrador de dominio.
El volcado de credenciales LSASS se observó por primera vez en las Tácticas, Técnicas y Procedimientos (TTP) de varios grupos sofisticados, incluidos actores que Microsoft rastrea como HAFNIUM y GALLIUM y se ha vuelto frecuente para cometer delitos, especialmente con el aumento de la ransomware como una economía de servicios.
Por lo tanto, es importante detectar y detener el robo de credenciales del sistema operativo porque puede significar la diferencia entre comprometer o cifrar un dispositivo o una red completa. Las soluciones de seguridad deben proporcionar medidas y capacidades específicas para ayudar a fortalecer el proceso LSASS; por ejemplo, Microsoft Defender para Endpoint tiene detecciones avanzadas y una regla de reducción de superficie de ataque (ASR) dedicada para bloquear el robo de credenciales de LSASS.
En mayo de 2022, Microsoft participó en una evaluación independiente de AV-Comparatives específicamente sobre la detección y el bloqueo de la técnica de volcado de credenciales LSASS [PDF].La prueba, que evaluó varias plataformas de protección de puntos finales (EPP) se enfocó en una sola técnica de ataque, y Defender for Endpoint pasó los 15 casos de prueba utilizados (100%) para volcar las credenciales del sistema operativo del usuario del proceso LSASS, incluído los casos utilizando la configuración predeterminada de Defender.
Volcado de credenciales LSASS en la naturaleza
Volcar las credenciales de LSASS es importante para los atacantes porque si logran volcar las contraseñas de dominio, pueden, por ejemplo, usar herramientas legítimas como PsExec o Windows Management Instrumentation (WMI) para moverse lateralmente a través de la red. También pueden usar técnicas como Pass-the-Hash si logran obtener los hash de la contraseña.
La siguiente tabla es una instantánea de las técnicas de robo de credenciales más populares que los actores utilizaron de marzo a agosto de 2022:
Living-off-the-land binary (LOLBin) or hacking tool | Threat actor that frequently uses this (not exhaustive) |
Comsvc.dll (and its “MiniDump” export) loaded by rundll32.exe | DEV-0270 |
Mimikatz (and its modified variants) | DEV-0674 |
Procdump.exe (with -ma command line option) | DEV-0555 |
Taskmgr.exe | DEV-0300 |
La primera columna muestra la técnica que los atacantes utilizan con mayor frecuencia en su intento de volcar las credenciales de LSASS, mientras que la segunda columna muestra qué actor de amenazas utiliza esta técnica con mayor frecuencia. Según los incidentes que rastreamos desde marzo hasta agosto de 2022, los ataques de robo de credenciales que usan LOLBins como comsvc.dll, procdump.exe o taskmgr.exe siguen siendo populares. Estos LOLBins son binarios legítimos firmados digitalmente que ya están presentes en el dispositivo de destino o se descargan en el sistema para que el atacante los use indebidamente para actividades maliciosas.
Microsoft Defender Antivirus evita la ejecución de estas líneas de comando debido a sus capacidades de bloqueo de línea de comando síncrono.
Prueba AV-Comparatives
Para evaluar las capacidades de EPP y EDR frente a la técnica de volcado de credenciales LSASS, AV-Comparatives ejecutó 15 casos de prueba diferentes para volcar las credenciales del proceso LSASS utilizando herramientas de hacking disponibles públicamente como Mimikatz (que el probador modificó para eludir las firmas antivirus) y otras desarrolladas de forma privada.
Protección del proceso LSASS con defensa coordinada contra amenazas y fortalecimiento del sistema
La evolución continua del panorama de amenazas ha visto ataques que aprovechan el robo de credenciales del sistema operativo, y los actores de amenazas continuarán encontrando nuevas formas de volcar las credenciales LSASS en sus intentos de evadir la detección.
Microsoft informa que la regla ASR por sí sola evitó con éxito todas las técnicas probadas. La regla LSASS ASR es una protección genérica pero efectiva que los clientes pueden implementar para detener los ataques de volcado de credenciales LSASS en modo usuario actualmente conocidos. Por lo tanto, los clientes de Defender deben habilitar esta regla ASR, junto con la protección contra manipulaciones, como una capa de protección adicional para el proceso LSASS.
Los administradores de Windows también pueden realizar lo siguiente para fortalecer aún más el proceso LSASS en los dispositivos:
- Enable PPL for LSASS process; note that for new, enterprise-joined Windows 11 installs (22H2 update), this is already enabled by default
- Enable Windows Defender Credential Guard; this is also now enabled by default for organizations using the Enterprise edition of Windows 11.
- Enable restricted admin mode for Remote Desktop Protocol (RDP)
- Disable “UseLogonCredential” in WDigest
Finalmente, los clientes con Azure Active Directory (Azure AD) pueden seguir las recomendaciones sobre hardening:
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.