Este artículo explora técnicas y herramientas comunes utilizadas en entornos de redes corporativas durante operaciones de equipo rojo. El objetivo principal es la recopilación de información después de obtener acceso inicial, con énfasis en soluciones de seguridad basadas en host y red.
Infraestructura de red y segmentación
Las redes corporativas típicamente implementan segmentación para mejorar la seguridad y la gestión. Las VLAN permiten aislar dispositivos y controlar el tráfico de difusión. La segmentación se utiliza frecuentemente para proteger activos críticos como datos de clientes y registros financieros.
Las redes internas están divididas basándose en la importancia de los sistemas o la sensibilidad de los datos. Una implementación común separa las estaciones de trabajo de los servidores y servicios internos como DNS, aplicaciones web y correo electrónico.
Las zonas desmilitarizadas (DMZ) actúan como redes perimetrales que protegen la red interna del tráfico no confiable. Una arquitectura típica coloca servicios públicos (web, DNS, FTP) en la DMZ, con tráfico entrante marcado en rojo (no confiable) y tráfico interno en verde (controlado por dispositivos de seguridad).
Enumeración inicial de red
Después de obtener acceso, se realiza enumeración para mapear la topología de red. Esto incluye inspeccionar puertos TCP/UDP, tablas de enrutamienot y tablas ARP.
Para listar puertos y conexiones activas:
# Verificar puertos abiertos y conexiones establecidas
netstat -an -p tcp
Para inspeccionar la tabla ARP y descubrir hosts en la red local:
# Mostrar tabla ARP completa
arp -A
Entorno de Active Directory
Active Directory (AD) es un servicio de directorio que almacena datos sobre objetos de red y proporciona autenticación y autorización centralizadas. Los componentes clave incluyen controladores de dominio, unidades organizativas, objetos AD, dominios, bosques y cuentas de servicio.
Los controladores de dominio proporcionan servicios AD y administran el dominio completo, incluyendo usuarios, grupos, políticas y computadoras. Son objetivos de alto valor para los equipos rojos debido a la información sensible que contienen.
Enumeración del entorno AD
Se puede verificar la membresía de dominio usando:
# Buscar información de dominio en detalles del sistema
systeminfo | Select-String -Pattern "Dominio"
Para listar cuentas de usuario en un contenedor OU específico:
# Obtener usuarios dentro de la unidad organizativa específica
Get-ADUser -Filter * -SearchBase "OU=Departamento,DC=dominio,DC=com" | Format-Table Nombre, SamAccountName
Soluciones de seguridad basadas en host
Software antivirus
Los antivirus utilizan detección basada en firmas, heurística y comportamiento. Para enumerar soluciones antivirus instaladas:
# Consultar productos de seguridad usando CIM
Get-CimInstance -Namespace root/SecurityCenter2 -ClassName AntivirusProduct | Select-Object displayName, productState
Windows Defender
Windows Defender opera en tres modos: activo, pasivo y deshabilitado. Para verificar su estado:
# Verificar servicio de Windows Defender
Get-Service -Name WinDefend | Select-Object Status, DisplayName
# Verificar estado de protección en tiempo real
Get-MpPreference | Select-Object DisableRealtimeMonitoring
Firewalls basados en host
Los firewalls de host controlan el tráfico entrante y saliente en interfaces de red. Para verificar configuraciones:
# Mostrar perfiles de firewall y su estado
Get-NetFirewallProfile | Select-Object Name, Enabled | Format-Table
# Listar reglas de firewall habilitadas
Get-NetFirewallRule | Where-Object {$_.Enabled -eq 'True'} | Select-Object DisplayName, Direction, Action
Sysmon y registro de eventos
Sysmon registra eventos del sistema como creación de procesos, conexiones de red y acceso a archivos. Para detectar su presencia:
# Buscar servicio de Sysmon
Get-Service -Name Sysmon* -ErrorAction SilentlyContinue
# Verificar procesos relacionados
Get-Process -Name Sysmon* -ErrorAction SilentlyContinue
Sistemas de detección/prevención basados en host
Los HIDS/HIPS monitorizan actividades anómalas en el host. Algunos detectan basándose en firmas conocidas o establecen una línea base de comportamiento normal. Los EDR ofrecen capacidades avanzadas de detección y respuesta.
Soluciones de seguridad basadas en red
Firewalls de red
Actúan como punto de inspección inicial para el tráfico entrante. Tipos comunes incluyen firewalls de filtrado de paquetes, firewalls de aplicación web y NAT firewalls.
SIEM (Gestión de eventos e información de seguridad)
Los SIEM agregan y analizan registros de toda la red en tiempo real. Ofrecen características como gestión de registros, análisis de eventos y alertas de seguridad. Productos comunes incluyen Splunk y LogRhythm.
Sistemas de detección/prevención basados en red
Los NIDS/NIPS monitorean el tráfico de red en busca de actividades maliciosas, basándose en firmas conocidas o anomalías. A diferencia de los basados en host, se enfocan en la seguridad de red en lugar de endpoints individuales.
Enumeración de aplicaciones y servicios
Aplicaciones instaladas
Identificar software instalado puede revelar vulnerabilidades o credenciales. Para listar aplicaciones:
# Obtener lista de productos instalados
wmic product get name,version
Servicios y procesos
Los servicios de Windows pueden configurarse incorrectamente, permitiendo escalada de privilegios. Para listar servicios en ejecución:
# Listar servicios iniciados
net start
# Buscar servicio específico y su ruta
wmic service where "nombre like 'nombre_servicio'" get nombre,ruta
Get-Service -Name "nombre_servicio" | Select-Object *
Servicios internos
Los servicios internos como DNS, correo y aplicaciones web son fuentes valiosas de información. Para realizar una transferencia de zona DNS:
# Usar nslookup para transferencia de zona
nslookup
> server IP_CONTROLADOR_DOMINIO
> ls -d dominio.com
Para verificar servicios en puertos específicos:
# Verificar procesos escuchando en puertos
netstat -ano | findstr "LISTENING" | findstr "ID_PROCESO"