PsExec Hunt Lab - CyberDefenders
{width=“6.267716535433071in”
height=“1.375in”}
Una alerta del Sistema de Detección de Intrusiones (IDS) marcó una actividad de movimiento lateral sospechosa que involucraba PsExec.
Esto indica un posible acceso y movimiento no autorizado a través de la red. Como analista de SOC, su tarea es investigar el archivo PCAP proporcionado para rastrear las actividades del atacante.
Identifique su punto de entrada, las máquinas atacadas, el alcance de la violación y cualquier indicador crítico que revele sus tácticas y objetivos dentro del entorno comprometido.
Introducción
En este laboratorio, investigamos un compromiso de red marcado por una alerta del Sistema de detección de intrusiones (IDS) que indica actividad de movimiento lateral sospechosa que involucra PsExec.
PsExec es una herramienta administrativa poderosa y legítima que a menudo explotan los atacantes para ejecutar comandos de forma remota y moverse lateralmente a través de una red. Nuestra tarea como analistas de SOC es analizar el archivo PCAP proporcionado para rastrear las actividades del atacante, identificar su punto de entrada y comprender sus métodos de recorrido y compromiso.
La investigación comienza identificando el punto de acceso inicial, donde el atacante aprovechó SMB Protocolo (Bloque de mensajes del servidor) sobre TCP para afianzarse en la red. SMB, un protocolo ampliamente utilizado para compartir archivos y acceder a recursos, se convierte en un foco clave a medida que analizamos su papel en el ataque.
Las acciones del atacante incluyeron negociar SMB sesiones, utilizando recursos administrativos compartidos como ADMIN$, e instalando el PsExec servicio ejecutable, PSEXESVC.exe, en una máquina comprometida para permitir la ejecución remota.
A medida que avanza la investigación, descubrimos las tácticas de movimiento lateral del atacante, incluido el uso de credenciales comprometidas y conexiones con el especial IPC$ compartir para comunicación entre procesos.
También identificamos el nombre de host de la máquina comprometida y rastreamos un intento fallido de cambiar a otra máquina, arrojando luz sobre el alcance y las limitaciones del ataque.
Analizando SMB datos de la sesión y NTLM En los procesos de autenticación, reconstruimos la metodología del atacante y destacamos los indicadores clave de compromiso (IoC).
Este laboratorio demuestra la importancia de monitorear las acciones administrativas, obtener credenciales y comprender las tácticas de movimiento lateral para mitigar y responder a las amenazas.
Al final de este laboratorio, obtenemos una comprensión más clara del comportamiento del atacante, el alcance de la violación y los pasos a seguir para mejorar la defensa de la red.
Análisis
P1 Para rastrear eficazmente las actividades del atacante dentro de nuestra red, ¿puede identificar la dirección IP de la máquina desde la que el atacante obtuvo acceso inicialmente?
Para rastrear eficazmente las actividades del atacante dentro de la red, comenzamos analizando el archivo PCAP proporcionado en Wireshark.
Usando Statistics → Protocol Hierarchy, podemos identificar los protocolos utilizados en el tráfico de la red.
{width=“6.267716535433071in”
height=“1.8055555555555556in”}
{width=“6.267716535433071in”
height=“2.4166666666666665in”}
{width=“6.267716535433071in”
height=“3.013888888888889in”}
La captura de pantalla anterior muestra una clara presencia del SMB Protocolo (Bloque de mensajes del servidor), que a menudo se asocia con el intercambio de archivos y el acceso a recursos de red en redes Windows.
SMB opera tanto sobre UDP como sobre TCP, aunque TCP es el protocolo de transporte más común debido a su confiabilidad y naturaleza orientada a la conexión, mientras que UDP generalmente se usa en escenarios menos exigentes y sin conexión.
Los detalles de la jerarquía del protocolo revelan el uso de NetBIOS Servicio de sesión y SMB2 (Protocolo de bloqueo de mensajes del servidor versión 2) sobre TCP. Esto indica un flujo de comunicación deliberado probablemente iniciado para el movimiento lateral o la transferencia de archivos.
Investigando los patrones de tráfico específicos asociados con SMB, se hace evidente que un SMB La negociación se produjo entre dos direcciones IP, 10.0.0.130 y 10.0.0.133.
{width=“6.267716535433071in”
height=“3.0in”}
Durante este proceso, el cliente, procedente de 10.0.0.130, envió una solicitud de protocolo de negociación a 10.0.0.133.
Esta solicitud es un paso fundamental para establecer la comunicación entre un cliente y un servidor, donde SMB Se acuerda la versión del protocolo para garantizar la compatibilidad con operaciones posteriores.
El uso del puerto TCP 445 confirma esto como comunicación estándar para PYMES.
De esta evidencia se desprende claramente que 10.0.0.130 era la máquina desde la que el atacante obtuvo acceso inicialmente.
El inicio de SMB La negociación desde esta IP sugiere que sirvió como punto de entrada del atacante a la red, permitiéndole pivotar a otras máquinas.
Este hallazgo es crucial para comprender el origen de la violación y constituye la base para una mayor investigación sobre las acciones y objetivos del atacante.
P2 Para comprender completamente el alcance de la violación, ¿puede determinar el nombre de host de la máquina al que giró por primera vez el atacante?
Para determinar el nombre de host de la máquina al que el atacante giró por primera vez, seguimos el flujo TCP identificado en el análisis anterior.
Examinando el SMB secuencia de comunicación en detalle, podemos rastrear el movimiento del atacante y sus interacciones con los sistemas objetivo.
{width=“6.267716535433071in”
height=“3.013888888888889in”}
El SMB El tráfico revela el uso de NTLM Autenticación (NT LAN Manager) como parte del proceso de configuración de la sesión.
NTLM es un protocolo de autenticación de desafío-respuesta comúnmente utilizado en entornos Windows.
{width=“6.267716535433071in”
height=“3.0in”}
Implica el intercambio de mensajes de negociación, desafíos y respuestas entre el cliente y el servidor. Los atacantes suelen explotar este protocolo durante los intentos de movimiento lateral.
En el desglose detallado de la NTLM intercambio de autenticación, podemos ver que el servidor responde al cliente con un mensaje que contiene metadatos sobre la máquina de destino.
Esto incluye atributos clave como el NetBIOS nombre de dominio, NetBIOS nombre de la computadora, y DNS nombre de dominio/computadora.
A partir de la información extraída, el nombre de host de la máquina de destino se identifica como SALES-PC.
Estos datos son cruciales ya que confirman el punto pivote del ataque, donde el atacante pasó de su punto de apoyo inicial a una nueva máquina objetivo dentro de la red.
Los atributos también confirman que la actividad del atacante aprovechó SMB2 sobre el puerto TCP 445 para establecer una conexión con SALES-PC.
Esta interacción es un sello distintivo de las tácticas de movimiento lateral, donde el atacante intenta ampliar su alcance y establecer control sobre recursos adicionales en el entorno comprometido.
Identificar el nombre de host comprometido proporciona información valiosa sobre la progresión del ataque y sienta las bases para una mayor investigación sobre la profundidad y el alcance del compromiso.
Q3 Conocer el nombre de usuario de la cuenta que el atacante utilizó para la autenticación nos dará información sobre el alcance de la violación. ¿Cuál es el nombre de usuario utilizado por el atacante para la autenticación?
Para identificar el nombre de usuario utilizado por el atacante para la autenticación, rastreamos hasta el inicio de la sesión dentro del SMB tráfico observado en el flujo TCP.
El SMB2 El paquete de solicitud de configuración de sesión revela los detalles críticos relacionados con el proceso de autenticación.
Este paso en el SMB La secuencia de comunicación es donde el cliente intenta establecer una sesión con el servidor utilizando las credenciales proporcionadas.
{width=“6.267716535433071in”
height=“3.013888888888889in”}
{width=“6.267716535433071in”
height=“0.6666666666666666in”}
{width=“6.267716535433071in”
height=“0.8888888888888888in”}
Al inspeccionar la solicitud de configuración de la sesión, NTLM Se muestra la información de autenticación.
Esto incluye el identificador de sesión y el nombre de cuenta utilizado durante la autenticación.
La información capturada indica que el nombre de usuario ssales Se empleó para la autenticación.
Este nombre de usuario pertenece al host HR-PC, como se observa en los metadatos dentro del paquete.
El NTLM El proceso de autenticación aprovecha los mecanismos de desafío-respuesta, donde el cliente proporciona un token de respuesta basado en un desafío generado por el servidor.
El uso de la ssales
La cuenta sugiere que el atacante comprometió esta cuenta de usuario o aprovechó credenciales robadas para autenticarse y obtener acceso al sistema de destino.
Este es un indicador crítico de compromiso IoC ya que revela la identidad que se está explotando en la violación.
El nombre de la cuenta proporciona un contexto valioso para que los equipos de respuesta a incidentes evalúen los permisos y roles asociados con este usuario, ayudándolos a determinar el alcance de las capacidades y privilegios del atacante dentro del entorno comprometido.
P4 Después de descubrir cómo se movía el atacante dentro de nuestra red, necesitamos saber qué hacía en la máquina objetivo. ¿Cuál es el nombre del ejecutable del servicio que el atacante configuró en el objetivo?
Para descubrir qué hizo el atacante en la máquina objetivo, analizamos el SMB solicitudes más abajo en el flujo TCP.
La comunicación revela que el atacante emitió un Create Request via SMB para configurar un servicio ejecutable en la máquina de destino.
Este paso es un indicador crítico de su actividad y proporciona información sobre las herramientas que utilizaron para mantener la persistencia o ejecutar comandos.
{width=“6.267716535433071in”
height=“3.0in”}
Los detalles del paquete capturado muestran que el atacante creó un archivo llamado PSEXESVC.exe en la máquina objetivo.
{width=“6.267716535433071in”
height=“3.1944444444444446in”}
Este ejecutable es un componente de servicio de PsExec, una herramienta legítima a menudo mal utilizada por los atacantes para el movimiento lateral.
PsExec opera copiando su ejecutable de servicio, PSEXESVC.exe, al sistema de destino ADMIN$ share, que es un recurso compartido administrativo oculto que se utiliza comúnmente para la administración remota en sistemas Windows.
Una vez transferido, el servicio se ejecuta, proporcionando al atacante acceso remoto y capacidades de ejecución en el host comprometido.
El SMB2
El paquete Crear solicitud incluye detalles como el ID del árbol que apunta al objetivo ADMIN$ acción y la cuenta utilizada para esta operación, que, como se estableció anteriormente, es ssales.
El identificador de sesión y el contexto del dominio confirman que la conexión se realizó utilizando las credenciales de la cuenta comprometida, lo que demuestra aún más cómo el atacante aprovechó privilegios de usuario válidos para realizar sus acciones maliciosas.
Creando el PSEXESVC.exe al prestar servicio en la máquina de destino, el atacante obtuvo la capacidad de ejecutar comandos de forma remota, comprometiendo efectivamente al host.
Esta acción resalta la necesidad de monitorear las acciones administrativas y la actividad de los usuarios, particularmente cuando herramientas como PsExec se detectan en el tráfico de la red, ya que a menudo señalan operaciones no autorizadas o maliciosas.
Q5 Necesitamos saber cómo el atacante instaló el servicio en la máquina comprometida para comprender las tácticas de movimiento lateral del atacante. Esto puede ayudar a identificar otros sistemas afectados. ¿Qué recurso compartido de red utilizó PsExec para instalar el servicio en la máquina de destino?
Para comprender cómo el atacante instaló el servicio en la máquina comprometida, necesitamos analizar el recurso compartido de red específico utilizado durante el PsExec operación.
PsExec, una herramienta popular para la administración remota, generalmente aprovecha los recursos administrativos compartidos en los sistemas de destino para copiar el ejecutable de su servicio y realizar sus operaciones.
En este caso, el tráfico de red capturado en el flujo TCP proporciona evidencia clara del recurso compartido utilizado.
{width=“6.267716535433071in”
height=“2.9722222222222223in”}
El SMB2 Crear paquete de solicitud, que se utilizó para crear el ejecutable del servicio PSEXESVC.exe, indica que el servicio fue instalado en el ADMIN$ parte de la máquina objetivo.
El ADMIN$ share es un recurso compartido administrativo oculto asignado al directorio del sistema Windows, generalmente C:\Windows.
Se utiliza para tareas administrativas como transferencias y ejecución remota de archivos. La presencia del ID del árbol que apunta a \\10.0.0.133\ADMIN$ confirma que esta parte fue atacada por PsExec.
Usando el ADMIN$ compartir permitió al atacante copiar el PsExec servicio ejecutable en la máquina de destino, inicie su ejecución y obtenga acceso remoto.
Esta táctica es un indicador de movimiento lateral, ya que se basa en acceder a acciones privilegiadas y aprovechar credenciales válidas, como la cuenta de ventas comprometida, para ejecutar comandos en otros sistemas.
Comprender el uso de la ADMIN$ compartir en este contexto proporciona información crítica sobre los métodos del atacante.
Destaca la necesidad de un seguimiento y una auditoría sólidos de las acciones administrativas y las actividades de las cuentas de usuario para detectar y prevenir el acceso no autorizado y el movimiento lateral a través de la red.
Q6 Debemos identificar el recurso compartido de red utilizado para comunicarse entre las dos máquinas. ¿Qué recurso compartido de red utilizó PsExec para la comunicación?
Para identificar el recurso compartido de red utilizado para la comunicación entre las dos máquinas, analizamos el SMB Solicitudes de Tree Connect realizadas anteriormente en el tráfico capturado.
{width=“6.267716535433071in”
height=“3.0555555555555554in”}
La solicitud, que se muestra en la captura de pantalla anterior, indica que el atacante utilizó el IPC$ compartir para comunicación.
El IPC$ share, abreviatura de Inter-Process Communication, es un recurso compartido administrativo especial en sistemas Windows que facilita la comunicación entre procesos, especialmente para operaciones de control y gestión remota.
A diferencia de los recursos compartidos típicos para el almacenamiento de archivos, IPC$ se utiliza para intercambiar datos relacionados con tareas administrativas, como gestionar conexiones de red o acceder a servicios del sistema.
La solicitud de conexión de árbol capturada muestra una conexión a \\10.0.0.133\IPC$, confirmando que el IPC$ La participación se aprovechó durante el ataque.
Esta acción se utiliza comúnmente en SMB comunicaciones, particularmente para operaciones que involucran autenticación, administración remota de servicios o ejecución de comandos, como se ve en este escenario con PsExec.
Los atributos de conexión en el paquete indican que la sesión se estableció utilizando el paquete previamente comprometido ssales cuenta, y la comunicación continuó SMB2 en el puerto TCP 445.
Al utilizar el IPC$ compartir, PsExec estableció un canal para llamadas a procedimientos remotos (RPC) y otras comunicaciones entre procesos necesarias para su funcionalidad.
P7 Ahora que tenemos una imagen más clara de las actividades del atacante en la máquina comprometida, es importante identificar cualquier movimiento lateral adicional. ¿Cuál es el nombre de host de la segunda máquina que el atacante pretendía que girara dentro de nuestra red?
Para identificar el nombre de host de la segunda máquina a la que el atacante apuntaba para el movimiento lateral, examinamos el tráfico de la red para localizar otra SMB sesión iniciada desde el punto de apoyo inicial del atacante.
El tráfico capturado revela que el atacante intentó comunicarse con un objetivo diferente dentro de la red.
{width=“6.267716535433071in”
height=“3.3194444444444446in”}
El análisis de paquetes muestra un SMB Negociar solicitud de protocolo desde la IP del atacante, 10.0.0.130, a la IP de destino, 10.0.0.131.
El SMB El proceso de configuración de la sesión incluye NTLM detalles de negociación que revelan la identidad de la máquina objetivo.
Al analizar el NTLM Respuesta al desafío desde el destino, el nombre de host se extrae de los metadatos de la sesión.
{width=“6.267716535433071in”
height=“2.986111111111111in”}
El nombre de host de destino se identifica como MARKETING-PC, como se refleja en atributos como el NetBIOS nombre de dominio, NetBIOS nombre de la computadora y nombre de la computadora DNS.
Estos atributos confirman que el atacante apuntó a esta máquina en su intento de ampliar su alcance dentro de la red. Sin embargo, una inspección más detallada de la configuración de la sesión muestra una STATUS_LOGON_FAILURE error, que indica que el intento del atacante de autenticarse y establecer una sesión no tuvo éxito.