¿Sabías que los ciberdelincuentes pueden modificar los procedimientos de autenticación para acceder a credenciales de usuarios o permitir un acceso no autorizado a sus cuentas? Existen 9 fórmulas para alterar parte de estos procesos, que se gestionan mediante mecanismos como el del servidor de autenticación de seguridad local (LSASS) y el administrador de cuentas de seguridad (SAM) en Windows, módulos de autenticación conectables (PAM) en sistemas basados en Unix y complementos de autorización en sistemas MacOS, responsables de recopilar, almacenar y validar las credenciales.
Para autenticarse en un servicio o sistema sin utilizar cuentas válidas, los atacantes se sirven de parches en el proceso de autenticación en un controlador de dominio; registran bibliotecas de vínculos dinámicos (DLL) de filtros de contraseñas maliciosos -para adquirir credenciales a medida que se validan- o de proveedores de red; modifican módulos de autenticación conectables (PAM); codifican contraseñas en el sistema operativo para lograr acceso en los dispositivos de red; emplean cifrado reversible; deshabilitan o cambian los mecanismos de autenticación multifactor (MFA) y los vinculados a identidades híbridas en la nube, así como las políticas de acceso condicional.
Las credenciales o los accesos comprometidos pueden utilizarse incluso para entrar de forma persistente a sistemas remotos y servicios disponibles externamente, como VPN, Outlook Web Access y escritorio remoto.
¿Cómo se pueden detectar este tipo de ataques de credenciales?
- Supervisando:
a) Los cambios realizados en la configuración de seguridad de Active Directory.
b) La creación de archivos DLL nuevos y desconocidos en un controlador de dominio o en el equipo local.
c) Las autenticaciones de cuentas en las que las credenciales MFA no son proporcionadas por la cuenta de usuario a la entidad de autenticación.
d) La inscripción de dispositivos y cuentas de usuario con configuraciones de seguridad alternativas que no requieren credenciales de MFA para un inicio de sesión exitoso.
f) La agregación de claves de registro del proveedor de red
e) Los cambios en las entradas del Registro para los filtros de contraseñas y para los proveedores de red.
- Habilitando la auditoria de seguridad para recopilar registros de soluciones de identidad híbrida.
- Monitorizando:
- La modificación sospechosa de archivos asociados a procesos de autenticación, como los de configuración y rutas de módulos, así como el acceso a certificados y material de claves criptográficas.
- El comportamiento de inicio de sesión recién creado en sistemas que comparten cuentas, ya sean de usuario, administrador o servicio.
- Correlacionando otros sistemas de seguridad con la información de inicio de sesión.
- Configurando políticas de auditoría de actividad de cuentas sólidas y consistentes en toda la empresa y con servicios accesibles externamente.
- Ejecutando API del SO
¿Qué buenas prácticas de seguridad puedo aplicar para bloquear estas técnicas?
Este tipo de ataques se pueden reducir con:
- Una auditoria de los registros de autenticación, de la solución de identidad híbrida y del registro de DLL de proveedores de red.
- La integración de la autenticación multifactor como parte de la política organizacional.
- Modificando la configuración del sistema operativo para garantizar que solo se registran filtros de contraseñas válidos.
- Estableciendo y aplicando políticas de contraseñas seguras para las cuentas.
- Administrando la creación, modificación, uso y permisos asociados a cuentas privilegiadas, incluidas SYSTEM y root.
- Protegiendo los procesos con altos privilegios
- Restringiendo permisos de archivos y directorios
- Limitando los permisos del registro para no autorizar la modificación de claves de registro confidenciales
- Gestionando la creación, modificación, uso y permisos asociados a las cuentas de usuario.
Para más información: attack.mitre.org
