Analice el tráfico de AD con la herramienta Analizador de movimiento lateral (Beta)
Descripción
El Herramienta Analizador de movimiento lateral (beta) permite a los equipos de seguridad buscar movimientos laterales activos en sus entornos. La herramienta analiza el tráfico de AD fuera de línea y proporciona resultados procesables sobre las cuentas que se sospecha que han sido comprometidas y las máquinas a las que han accedido estas cuentas. El uso rutinario de esta herramienta puede ayudar significativamente a detectar movimientos laterales en sus primeras etapas y tomar las acciones necesarias para eliminar entidades maliciosas del entorno.
Detalles
La herramienta incluye dos módulos: Coleccionista, que recopila registros de autenticación del entorno, y Analizador, que analiza estos registros para detectar anomalías de autenticación asociadas con patrones de movimiento lateral.
Coleccionista
El módulo Event Log Collector recopila registros de autenticación de la siguiente manera:
- Autenticaciones NTLM: escaneo de controladores de dominio para el evento 8004 de Windows.
- Autenticación Kerberos: escaneo de máquinas cliente para el evento 4648 de Windows.
Requisitos:
- Privilegios de administrador de dominio.
- Acceso LDAP/S y RPC al DC y al cliente.
- Máquina Windows con Python 3.8 o superior.
Salida: archivo CSV con los siguientes campos: host de origen, destino, nombre de usuario, tipo de autenticación, SPN y marcas de tiempo en el formato %Y/%M/%D %H:%M
Analizador
El Analizador opera con los datos que proporciona el Recolector, buscando patrones de movimiento lateral según los siguientes métodos:
- Algoritmo Analizador de movimiento lateral (LATMA): mejora del algoritmo Hopper para detectar autenticaciones de usuarios anómalas.
- IoC de movimiento lateral: con las autenticaciones anómalas que proporciona LATMA, el analizador busca secuencias y patrones de autenticación que indiquen que se está produciendo un movimiento lateral activo.
Requisitos:
- El analizador se puede ejecutar tanto desde máquinas Windows como Linux.
Salida:
- Archivo de texto que contiene una lista de cuentas de usuario y máquinas comprometidas, y una descripción línea por línea del ataque sospechoso.
- Archivo GIF con visualización completa del flujo de ataque sospechoso.
El beta La versión está disponible para descargar a continuación.