Buscar

Idioma

Analice el tráfico de AD con la herramienta Analizador de movimiento lateral (Beta)

Herramientas

Descripción

El  Herramienta Analizador de movimiento lateral (beta) permite a los equipos de seguridad buscar movimientos laterales activos en sus entornos. La herramienta analiza el tráfico de AD fuera de línea y proporciona resultados procesables sobre las cuentas que se sospecha que han sido comprometidas y las máquinas a las que han accedido estas cuentas. El uso rutinario de esta herramienta puede ayudar significativamente a detectar movimientos laterales en sus primeras etapas y tomar las acciones necesarias para eliminar entidades maliciosas del entorno.

Detalles

La herramienta incluye dos módulos: Coleccionista, que recopila registros de autenticación del entorno, y Analizador, que analiza estos registros para detectar anomalías de autenticación asociadas con patrones de movimiento lateral.

Coleccionista

El módulo Event Log Collector recopila registros de autenticación de la siguiente manera:

  • Autenticaciones NTLM: escaneo de controladores de dominio para el evento 8004 de Windows.
  • Autenticación Kerberos: escaneo de máquinas cliente para el evento 4648 de Windows.

Requisitos:

  • Privilegios de administrador de dominio.
  • Acceso LDAP/S y RPC al DC y al cliente.
  • Máquina Windows con Python 3.8 o superior.

Salida: archivo CSV con los siguientes campos: host de origen, destino, nombre de usuario, tipo de autenticación, SPN y marcas de tiempo en el formato %Y/%M/%D %H:%M

Analizador

El Analizador opera con los datos que proporciona el Recolector, buscando patrones de movimiento lateral según los siguientes métodos:

  • Algoritmo Analizador de movimiento lateral (LATMA): mejora del algoritmo Hopper para detectar autenticaciones de usuarios anómalas.
  • IoC de movimiento lateral: con las autenticaciones anómalas que proporciona LATMA, el analizador busca secuencias y patrones de autenticación que indiquen que se está produciendo un movimiento lateral activo.

Requisitos:

  • El analizador se puede ejecutar tanto desde máquinas Windows como Linux.

Salida:

  • Archivo de texto que contiene una lista de cuentas de usuario y máquinas comprometidas, y una descripción línea por línea del ataque sospechoso.
  • Archivo GIF con visualización completa del flujo de ataque sospechoso.

El  beta La versión está disponible para descargar a continuación.