En anteriores artículos de Windows Security and Forensics hablamos de la recolección de evidencias digitales en memoria, en este capitulo veremos diversos ataques al sistema de autenticacion de Microsoft.
Windows Authentication Attacks and Forensics
Una de las cuestiones que se analiza en este capitulo es la obtención de credenciales en un entorno Windows, estas contraseñas generalmente almacenadas en forma de hash y la forma de conseguir las contraseñas que generaron esas firmas o hash.
El proceso de generar un hash utilizando un algoritmo de firma es unidireccional, es decir un elemento siempre nos va a generar el mismo hash, pero "en teoría" no podemos conocer el origen a partir del hash, la realidad es que se utiliza un proceso de comparación o ataque por fuerza bruta, optimizado de diferentes formas para encontrar esas contraseñas.
Kerberos Ticket Attacks
Es muy interesante el ataque al sistema de tickets que se utiliza en un entorno de directorio activo mediante kerberos y en este curso puedes ver algunas funciones de la herramienta kerberoast presentada en la ultima BlackHat.
En este capitulo también puedes ver como se realiza un ataque Pass the Hash con la herramienta mimikatz, para acceder a los privilegios de otro usuario simplemente con el hash de su password, sin ninguna necesidad de averiguar la contraseña.
Este curso de @Erdal_Ozkaya, @Alshakarti y @nextxpert muy interesante lo puedes encontrar en: Microsoft Virtual Academy: Windows Security and Forensics
Artículos Windows Security and Forensics
Forensics Software
NirSoft: ESEDatabaseView
Microsoft Command-line tool: Esentutl
Sysinternals Suite: Download
Seguridad a lo Jabalí para Todos!!
No hay comentarios:
Publicar un comentario