En la actualidad, casi todas las empresas usan el Directorio Activo de Microsoft (DA) para gestionar sus redes, usuarios, políticas, etc… y dentro de una auditoría y ejercicio de redteam, el control sobre el directorio activo es el objetivo principal, ya que si controlamos el DA, tendremos el control sobre todos los recursos que este gestiona.

Las instalaciones de DA pueden ser sencillas, tenemos un controlador de dominio que controla todo el directorio, o pueden ser instalaciones complejas donde nos encontramos un “bosque” con sus controladores y servidores de confianza, dentro de un bosque complejo es muy fácil perderse a la hora de hacer movimientos laterales, aquí es donde BloodHound hace su “magia”.

¿Cómo instalar BloodHound?  Aquí esta toda la documentación para hacerlo.

Un pentester puede identificar fácilmente gracias a BloodHound las rutas a seguir (movimientos laterales o verticales) para llegar a controlar la cuenta del administrador del dominio.

Para que BloodHound pueda marcar una ruta hasta el administrador del dominio, necesita recolectar información dentro del Directorio Activo del tipo:

  • ¿Quién ha iniciado sesión y dónde?
  • ¿Quién tiene los derechos de administrador?
  • ¿Quién pertenece a qué grupos?

Recopilar datos de un dominio

Necesitamos un recopilador y una cuenta de usuario de dominio, no es necesario que sea un usuario administrador.

  • Los recopiladores se puede descargar aquí.
  • Para obtener cuentas validas de un entorno de directorio activo hay diferentes formas, se puede usar Responder para capturar NetNTLMv2, se puede usar SMB, etc…

Una vez que tengamos sesión en algún equipo o servidor de la red podemos subir un recopilador (sharphound.exe en este caso), lanzaremos nuestro recopilador especificando el nombre de dominio.

sharphound.exe -d dominio

Cuando sharphound acabe de recopilar información, nos mostrará la ruta donde deja al archivo con la información recogida, este archivo es el que después hay que importar en BloodHound, una vez que finalice la importación de datos se puede usar las plantillas ya preparadas para analizar los datos y buscar la ruta mas corta hacia el administrador del dominio.

 

BloodHound no es solo una herramienta para el equipo de Redteam, también para el Blueteam, ya que un administrador de dominio puede usar esta herramienta para buscar las posibles rutas hacia el administrador del dominio y poder corregirlas.