TIC Defense alerta sobre cómo los actores maliciosos atentan contra el Directorio Activo de los sistemas
Algunos ciberataques están en la búsqueda de explotar el Active Directory o AD, los cuales han permitido a los ciberatacantes obtener acceso a sistemas de gran importancia por medio de la elevación de privilegios.
Para evitar que estas situaciones puedan convertirse en verdaderas catástrofes, es de vital importancia adoptar estrategias de seguridad proactiva que refuercen la protección de esta estructura clave en todos los sistemas.
En días recientes, la Agencia de Seguridad Nacional (NSA) y la Agencia de Ciberseguridad e Infraestructura, CISA, de los Estados Unidos, junto con sus contrapartes de la alianza de los 5 ojos, entre los que se incluyen agencias del Gobierno del Reino Unido, Canadá y Nueva Zelanda, publicaron un informe detallado acerca de cómo detectar y mitigar amenazas dirigidas al Directorio Activo.
En dicho informe, se describen al menos 17 técnicas de ataque, las cuales son empleadas por los ciberdelincuentes, los cuales ponen de manifiesto las limitaciones de los métodos de detección convencionales, basados en registros y análisis de tráfico de red.
Estos métodos no son siempre efectivos para detectar ataques silenciosos, como el llamado “Kerberoasting”, el cual emplea un ataque de fuerza bruta para descifrar tickets de servicio y para extraer credenciales sin dejar rastro.
Por esta razón, ante la ineficacia de las estrategias de detección comunes, los equipos de seguridad informática han optado por desarrollar mecanismos que buscan evidencias específicas de herramientas netamente ofensivas.
No obstante, los hackers maliciosos se han adaptado a estas medidas, por medio de la creación de software personalizado. En el cual aprovechan lenguajes de programación modernos como Rust y Go. Esto les permite sortear diversas detecciones basadas en herramientas conocidas, haciendo que las defensas tradicionales queden obsoletas.
En la lucha por contrarrestar esta amenaza, el uso de “honeytokens” ha emergido como una solución efectiva. Dichos objetos, los cuales actúan como señuelos del Directorio Activo, pueden revelar intentos de acceso maliciosos sin depender de la correlación de eventos.
A diferencia de otras técnicas de detección, estos honeytokens son independientes de las herramientas específicas empleadas por los actores de amenazas, aumentando su capacidad de detección. Mediante la creación de cuentas ficticias que simulan ser objetivos atractivos, como cuentas administrativas o de servicio, los defensores pueden desencadenar alertas cada vez que los ciberdelincuentes interactúan con estos señuelos.
El valor de estos honeytokens no radica en su capacidad para generar alertas tempranas, únicamente. También, en su independencia del análisis de registros. Al no depender del tráfico de red ni de patrones de eventos, pueden proporcionar una defensa fiable, incluso, cuando los métodos convencionales fallan.
Como consecuencia de este enfoque de detección, el concepto de “Detección y Respuesta a Amenazas de la Identidad” o ITDR, por sus siglas en inglés, ha ganado interés, poniendo a los honeytokens como una pieza fundamental de dicha estrategia defensiva.
No obstante, la implementación de estas defensas no está exentas de desafíos. La configuración manual de estos señuelos en el Directorio Activo puede ser una tarea compleja y ser propensa a errores, debido a que requiere un conocimiento profundo tanto de la tecnología de engaño, como de las tácticas de los actores maliciosos.
La seguridad del Directorio Activo no puede depender solo de enfoques convencionales. El uso estratégico de elementos de engaño, como los honeytokens, pueden ofrecer una ventaja significativa en la protección de sistemas clave de las organizaciones.
