# Internas

### Equipo local

Es principalmente el punto de partida de las auditorías internas, y debemos realizar una serie de comprobaciones en los equipos proporcionados, entre las que se encuentran:

#### BIOS

* Contraseña
  * Está configurada?
  * Es robusta?
* Cambio opciones de arraque permitido
* Arranque por medios externos des/habilitado
* Mecanismo de reseteo BIOS?

#### Sistema Operativo

* Cifrado de unidad de disco&#x20;
  * Bitlocker? LUKS? --> Ataque de sticky keys
* Modificación de archivos de accesibilidad&#x20;
  * displayswitch.exe, magnifier.exe,narrator.exe, utilman.exe, sethc.exe
* Vulnerabilidades conocidas del sistema operativo&#x20;
  * Revisar parches aplicados
* Modo a prueba de fallos accesible
* Uso de unidades extraíbles
* Unidades de red accesibles&#x20;
  * Verificar permisos como escritura o acceso a información no permitida
* Servicios en los que la ruta al ejecutable esta configurada sin comillas
* Binarios susceptibles a DLL Hijacking
* Escritura o creación de claves en el registro
* Existencia de credenciales en GPO de SYSVOL&#x20;
  * Si se accede a dominio
* Verificar la posibilidad de ejecución de comandos&#x20;
  * Activex, cmd, powershell, wmic, cscript, etc..
* Verificar el uso de protocolos vulnerables&#x20;
  * NBT-NS, LLMR, MDNS, etc...
* Restricción de instalación de aplicaciones insuficiente&#x20;
  * Posibilidad de instalar aplicaciones con las credenciales del usuario otorgadas
* Protección de acceso y escritura en unidad C:\ insuficiente.
* Verificación de instalación y uso de compiladores&#x20;
  * Con la instalacion de Microsoft.NET framework se instala un compilador csc
* Ultimo usuario visible al iniciar&#x20;
  * Es posible ver el ultimo usuario que inicio sesion en el sistema
* Uso de software de control remoto
  * Como logmein, etc.. Depende de la politica, o el modo de acceso VPN, LAN, etc..
* Acceso al directorio activo en modo lectura&#x20;
  * Si se accede a un entorno de AD
* Volcado de credenciales en memoria
* Bypass solución de Filtrado web de la compañía
* Comprobación de borrado seguro de archivos
* Uso de software y protocolos de descarga masiva
  * bittorrent, edonkey, etc..
* Exfiltración de información – Canales encubiertos&#x20;
  * DNS, ICPM, etc.
* Permisos de cierre de procesos críticos del sistema&#x20;
  * antivirus, etc.
* Uso de software con vulnerabilidades conocidas
* Credenciales almacenada en navegador
* Antivirus/antimalware instalado y ejecutándose
* Firewall habilitado y configurado
* Uso de herramientas de hacking con antivirus habilitado

### Herramientas

* [Responder](https://github.com/SpiderLabs/Responder)
* [Impacket](https://github.com/SecureAuthCorp/impacket)
* [PowerSploit](https://github.com/PowerShellMafia/PowerSploit)
* [SharpHound](https://github.com/BloodHoundAD/SharpHound)
* [Certipy](https://github.com/ly4k/Certipy)

### Recursos y enlaces de referencia