Blog Detail

En la actualidad, la mayoría de las empresas utilizan Microsoft Active Directory Services para construir y administrar su infraestructura TI. Con el aumento actual de ataques contra corporaciones, es importante que el equipo de ciber seguridad comprenda el tipo de ataques que se pueden llevar a cabo en su infraestructura, así como desarrollar mecanismos de defensa y detección para protegerlos mejor. Windows Server Peru.

Tener su propio laboratorio es esencial para comprender las tácticas, técnicas y procedimientos que utilizan los ciberdelincuentes. En esta oportunidad los guiaré en cómo construir su propio laboratorio de Active Directory en el que puede practicar los ataques y encontrar sus mecanismos de detección.

Active Directory es un servicio de directorio que centraliza la administración de usuarios, computadoras y otros objetos dentro de una red. Su función principal es autenticar y autorizar usuarios y computadoras en un dominio de Windows.

Para nosotros que aspiramos a ser especialistas en ciber seguridad, es muy importante saber cómo funciona AD y sus debilidades.

Tabla de contenido

Descarga de los instaladores

Instalación de Windows Server 2019

Instalación de Windows 10 Pro

Configuración del controlador de dominio

Conexión de usuarios al dominio:

Conclusión

requisitos previos

En la primera parte vimos la instalación de Vmware ESXi, pero siéntete libre de usar cualquier hipervisor de tu elección, el concepto es el mismo. Necesitarás varias máquinas virtuales con sistema operativo Windows. Para nuestros propósitos, usamos copias de Microsoft de Windows 10 y Windows Server 2019. Te dejo los enlaces en la descripción.

https://www.microsoft.com/en-us/evalcenter/evaluate-windows-server-2019

Try Windows 10 Enterprise on Microsoft Evaluation Center

Instalación de Windows Server

Una vez que se hayan descargado los dos archivos ISO anteriores, abra Vmware (o el hipervisor que estén usando) y creamos la maquina virtual, montamos el ISO de Windows Server e iniciamos la maquina virtual,

Haga clic en “Siguiente”, luego en “Instalar ahora”, luego asegúrese de elegir la “Evaluación estándar de Windows Server 2019 (Experiencia de escritorio)”:

Acepte la licencia, haga clic en “Personalizar: instalar solo Windows (avanzado)”, luego haga clic en “Siguiente”:

Ahora, para esta parte, debes tomar un descanso o trabajar en otra cosa, te llevará unos minutos:

Debería reiniciarse por sí solo, luego llegará a esta pantalla:

Vamos a establecer bastantes contraseñas para configurar este AD. Sígueme junto con mis credenciales si quieres. Este es solo un entorno de prueba de todos modos:

Administrador:supasecret!1

Para iniciar sesión,  Ctrl-Alt-Delete:

Escriba su contraseña y se encontrará en el Administrador del servidor:

Lo primero que haremos es darle a nuestro controlador de dominio un nombre que suene a controlador de dominio.

Vaya a la barra de búsqueda, busque “computadora” y haga clic en “Ver el nombre de su PC”.

Luego haga clic en “Renombrar esta PC”

Luego reinicie su máquina.

Configuración del dominio de Active Directory

Una vez instalado el sistema operativo base de Windows Server empiezo a configurar el AD . Comenzaré configurando la interfaz de red del DC. Inicie sesión en el servidor y abra el Centro de redes y recursos compartidos. Configure la configuración de IPv4 para que se parezca a la siguiente imagen:

Si todo está configurado correctamente, debería poder hacer ping a google.com desde powershell.

Con toda la interfaz de red de la configuración de DC01, luego instalo la función de Servicios de dominio de Active Directory en Windows Server 2019 para que pueda preparar el dispositivo para que se convierta en un controlador de dominio para el dominio telecorp.local. Inicie el Asistente para agregar roles y características y deje todo en forma predeterminada hasta que llegue a los roles del servidor.

Con el resto de la configuración como predeterminada, haga clic en Siguiente hasta llegar a la sección Confirmación. Asegúrese de marcar la opción Reiniciar el servidor de destino automáticamente si es necesario y haga clic en Sí.

Haga clic en Instalar y deje que los roles se instalen en el servidor.

Una vez completada la instalación, puede cerrar la ventana. En la ventana del Administrador del servidor en la esquina superior derecha hay un indicador de notificación que muestra las tareas pendientes que deben realizarse en el servidor. Comience con Promocionar este servidor a un controlador de dominio. Como este es el primer dominio en el laboratorio, selecciono la sección Agregar un nuevo bosque y le doy el nombre de dominio raíz.

A continuación, configuro los niveles funcionales de Bosque y Dominio en Windows Server 2012 y configuro la contraseña de DSRM.

Puede dejar los siguientes elementos como predeterminados y hacer clic en Siguiente hasta que llegue a la opción adicional donde se completará el nombre de NetBIOS, que debe ser el mismo que el nombre de dominio.

Nuevamente, puede dejar el resto de la configuración como predeterminada y hacer clic en Siguiente hasta la sección Verificación de requisitos previos. Si todo ha ido bien, debería recibir una notificación de aprobación de todos los requisitos previos en la que puedo hacer clic en Instalar para completar el proceso.

Una vez completada la instalación, recibí un mensaje como este:

Una vez que el dispositivo se reinicia, tengo un entorno de dominio listo esperándome.

Agregar una PC al dominio del bosque

Una vez que la máquina se haya iniciado, haga clic en el ícono de archivos, haga clic en “Red”, luego haga clic con el botón derecho en la barra amarilla en la parte superior y “Activar descubrimiento de red y uso compartido de archivos”, luego haga clic en “Sí, activar descubrimiento de red y archivo”. compartir para todas las redes públicas”. Esto ayudará a demostrar los ataques SMB:

Ahora para cambiar el nombre de su computadora algo relacionado con su nombre de usuario.

Luego reinicie la máquina. Puede repetir este proceso para crear tantas estaciones de trabajo como desee.

¡Ahora su laboratorio realmente está creciendo!

Luego, configuro una PC que jugará a la víctima en el laboratorio. Configuré la interfaz de red de la PC. Inicie sesión en la PC y abra el Centro de redes y recursos compartidos. Configure la configuración de IPv4 para que se parezca a la siguiente imagen:

Y asegúrese de que pueda hacer ping desde la PC.

Con eso, la PC está lista para ser agregada al dominio. Abra el Explorador de archivos y haga clic derecho en Esta PC.

En la ventana Sistema que se abre, en Nombre de la computadora, haga clic en el enlace Cambiar configuración.

En la ventana Propiedades del sistema, seleccione Cambiar.

En la ventana Nombre de la computadora/Cambios de dominio, asegúrese de que el Nombre de la computadora esté configurado en PC01 y Miembro de esté configurado.

Autentíquese con la cuenta de administrador en el dominio para completar la adición de la PC al dominio.

Con eso, la PC ahora se agrega al dominio.

Esto también se puede verificar en el controlador de dominio.

Se le pedirá que reinicie la PC para completar la unión del dominio. Windows Server Peru. Reinicie la PC e inicie sesión con las credenciales de dominio.

La PC ahora es parte del dominio telecorp.local. Windows Server Peru.

Configuración del controlador de dominio

Inicie su Windows Server 2019 e ingrese su contraseña (¡supersecreto! 1). En el panel, haga clic en “Herramientas” y luego en “Usuarios y equipos de Active Directory”:

Vamos a crear un usuario básico. Haga clic en la flecha, haga clic en “Usuarios”, luego haga clic con el botón derecho en la parte blanca, desplace el cursor sobre “Nuevo”, luego seleccione “Usuario”

Nombra a tu usuario así:

Luego ingrese una contraseña. Marque “El usuario debe cambiar la contraseña en el próximo inicio de sesión” y marque “La contraseña nunca caduca”. Esta es una política muy mala si estuviera configurando un Active Directory real, sin embargo, esto simplifica las cosas para nuestros propósitos de prueba. Luego haga clic en “Siguiente” y “Finalizar”. Windows Server Peru.

¡Ahora nuestras credenciales son pfiona:password123!

Ahora vamos a crear un administrador de dominio para que nos ayude en nuestra red. Haga clic derecho en el usuario “Administrador” y luego haga clic en “Copiar”.

Introduzca un nombre como antes:

Ingrese una contraseña, “Siguiente”, luego “Finalizar”:

Dado que este es un administrador de dominio, aumenté un poco la complejidad, aquí están nuestras credenciales:

sshrek:!contraseña!23

[Todas estas contraseñas son muy malas, use una mejor política de contraseñas cuando cree un Active Directory de producción].

Vamos a crear algunos usuarios más. Copie nuestro usuario Princess Fiona y repita los pasos anteriores:

Credenciales:

mman:contraseña!@#4

A continuación, creemos una cuenta de base de datos SQL solo para fines de prueba (en realidad, no configuraremos una base de datos SQL en este recorrido). Copie la cuenta para que todos los permisos de una cuenta de administrador se transfieran a la cuenta de SQL. Las cuentas de servicio no deben ser administradores de dominio, esto tiene el potencial de explotación…

Cartas credenciales:

Base de datos SQL:¡contraseña!@34

Algunos administradores ponen contraseñas en las descripciones de las cuentas pensando que nadie más puede verlas. Para ver cómo esto puede ser una vulnerabilidad, coloque la contraseña en la descripción de la cuenta de SQLDatabase haciendo clic derecho y seleccionando “Propiedades”:

Luego escriba la contraseña, luego haga clic en “Aplicar”, luego en “Aceptar”.

Muchos Active Directory utilizan recursos compartidos de archivos. Configuremos un recurso compartido de archivos para ver cómo esa característica común puede ser una vulnerabilidad. Cierre la ventana “Usuarios y computadoras”, luego haga clic en “Servicios de archivo y almacenamiento”:

Luego haga clic en “Compartir”, “Tareas”, luego en “Nuevo recurso compartido…”:

Haga clic en “Siguiente”, dos veces, dejando los valores predeterminados hasta que lleguemos a esta pantalla.

Haga clic en “Siguiente” 3 veces, haga clic en “Crear”, y eso es todo, tiene un recurso compartido de archivos. Windows Server Peru.

A continuación, configuremos nuestra máquina para probar Kerberoasting, un ataque popular para obtener de forma pasiva las credenciales de Active Directory. Abra el símbolo del sistema presionando su tecla de Windows, escribiendo “cmd” y luego presionando Enter:

Luego ingrese este comando:

setspn -a FARQUAAD-DC/SQLDatabase.Duloc.local:1337 Duloc\SQLDatabase

Este comando configura un nombre de principio de servicio utilizando el nombre de su controlador de dominio (FARQUAAD-DC), un puerto aleatorio (1337), el nombre de su usuario de SQLDatabase y su nombre de dominio raíz (Duloc.local). Entonces deberías ver un resultado similar al siguiente:

Confirme que todo se hizo correctamente con este comando:

setspn -T Duloc.local -Q */*

Si ve “¡SPN existente encontrado!” en la parte inferior, tuviste éxito:

A continuación, deshabilitemos Windows Defender para que podamos centrarnos en los conceptos básicos de aprendizaje para atacar Active Directory, no en la evasión de antivirus. Cierre el símbolo del sistema y busque “Administración de políticas de grupo” en la barra de tareas y ábralo:

Haga clic en las siguientes flechas, luego haga clic con el botón derecho en su nombre de dominio raíz, haga clic en “Crear un GPO en este dominio y vincularlo aquí…”:

Luego ingrese el nombre de nuestra política:

Haga clic en la siguiente flecha nuevamente, haga clic con el botón derecho en “Deshabilitar Windows Defender”, luego haga clic en “Editar…”:

Haga clic en las siguientes flechas:

Pase el mouse sobre esta parte para ajustar la ventana:

Pero eso no es todo, desplácese hacia abajo hasta que pueda hacer clic en “Windows Defender Antivirus” y luego haga doble clic en “Desactivar Windows Defender Antivirus”.

Luego haga clic en “Habilitado”, “Aplicar”, “Aceptar”:

Conexión de usuarios al dominio:

Comencemos en uno de nuestros sistemas Windows 10 Enterprise:

Vaya a su unidad C y cree una nueva carpeta:

Esta carpeta actuará como nuestra unidad compartida en nuestro sistema AD, realice las siguientes acciones para configurarla:

¿Qué sigue?

¡Repita estos pasos en Conexión de usuarios al dominio con cualquier otra estación de trabajo de Windows 10 Enterprise que desee conectar a su Active Directory! Windows Server Peru.

Mientras creamos este Active Directory, usamos muchas otras características que los atacantes podrían usar como vulnerabilidades (como con la carpeta compartida o las descripciones de los usuarios).

Recomiendo encarecidamente visitar este sitio para conocer más vulnerabilidades de AD y vectores de ataque:

https://adsecurity.org/

Revisa la parte 1 ==> https://mobiledatas.com/2022/07/27/contruyendo-tu-laboratorio-ti-parte-1-el-hardware-peru-y-el-hipervisor/

Si tienes alguna pregunta, no olvides dejármela en los comentarios. Hasta la Proxima.