Lanzamiento de nuevas herramientas de código abierto para la simulación de adversarios



Los recursos compartidos de purple en entornos de Active Directory configurados con permisos excesivos plantean graves riesgos para la empresa en forma de exposición de datos, escalada de privilegios y ataques de ransomware. Dos nuevas herramientas de simulación de adversarios de código abierto, PowerHuntShares y PowerHunt, ayudan a los defensores empresariales a descubrir recursos compartidos de purple vulnerables y administrar la superficie de ataque.

Las herramientas ayudarán a los equipos de defensa, administración de identidad y acceso (IAM) y centro de operaciones de seguridad (SOC) a optimizar la búsqueda de recursos compartidos y la reparación de permisos excesivos de recursos compartidos de SMB en entornos de Lively Listing. Scott Sutherland, director sénior de NetSPI escribió en el web site de la empresa. Sutherland desarrolló estas herramientas.

PowerHuntShares realiza inventarios, analiza e informa privilegios excesivos asignados a recursos compartidos SMB en equipos unidos al dominio de Lively Directory. La herramienta PowerHuntShares aborda los riesgos de permisos compartidos excesivos en entornos de Lively Listing que pueden provocar exposición de datos, escalada de privilegios y ataques de ransomware en entornos empresariales.

«PowerHuntShares hará un inventario de las ACL compartidas de SMB configuradas con ‘privilegios excesivos’ y resaltará las ACL de ‘alto riesgo’ [access control lists]”, escribió Sutherland.

PowerHunt, un marco modular de búsqueda de amenazas, identifica signos de compromiso en función de artefactos de técnicas comunes de MITRE ATT&CK y detecta anomalías y valores atípicos específicos del entorno de destino. La herramienta automatiza la recopilación de artefactos a escala mediante la comunicación remota de PowerShell y realiza el análisis inicial.

Los recursos compartidos de red configurados con permisos excesivos pueden explotarse de varias maneras. Por ejemplo, el ransomware puede usar permisos de lectura excesivos en recursos compartidos para acceder a datos confidenciales. Dado que las contraseñas se almacenan comúnmente en texto no cifrado, los permisos de lectura excesivos pueden provocar ataques remotos contra bases de datos y otros servidores si se descubren estas contraseñas. El acceso de escritura excesivo permite a los atacantes agregar, eliminar, modificar y cifrar archivos, como escribir un shell internet o manipular archivos ejecutables para incluir una puerta trasera persistente.

«Podemos aprovechar Energetic Directory para ayudar a crear un inventario de sistemas y recursos compartidos», escribió Sutherland. «Los recursos compartidos configurados con permisos excesivos pueden conducir a la ejecución remota de código (RCE) de varias maneras, los esfuerzos de remediación se pueden acelerar a través de técnicas simples de agrupación de datos y el escaneo de recursos compartidos maliciosos se puede detectar con algunos ID de eventos comunes y un poco de correlación ( siempre es más fácil decirlo que hacerlo)».



Enlace a la noticia initial