Comment on page
🎯
Internas
Esta sección está dedicada a técnicas, conceptos y vulnerabilidades que podemos encontrar en auditorías internas.
Es principalmente el punto de partida de las auditorías internas, y debemos realizar una serie de comprobaciones en los equipos proporcionados, entre las que se encuentran:
- Contraseña
- Está configurada?
- Es robusta?
- Cambio opciones de arraque permitido
- Arranque por medios externos des/habilitado
- Mecanismo de reseteo BIOS?
- Cifrado de unidad de disco
- Bitlocker? LUKS? --> Ataque de sticky keys
- Modificación de archivos de accesibilidad
- displayswitch.exe, magnifier.exe,narrator.exe, utilman.exe, sethc.exe
- Vulnerabilidades conocidas del sistema operativo
- Revisar parches aplicados
- Modo a prueba de fallos accesible
- Uso de unidades extraíbles
- Unidades de red accesibles
- Verificar permisos como escritura o acceso a información no permitida
- Servicios en los que la ruta al ejecutable esta configurada sin comillas
- Binarios susceptibles a DLL Hijacking
- Escritura o creación de claves en el registro
- Existencia de credenciales en GPO de SYSVOL
- Si se accede a dominio
- Verificar la posibilidad de ejecución de comandos
- Activex, cmd, powershell, wmic, cscript, etc..
- Verificar el uso de protocolos vulnerables
- NBT-NS, LLMR, MDNS, etc...
- Restricción de instalación de aplicaciones insuficiente
- Posibilidad de instalar aplicaciones con las credenciales del usuario otorgadas
- Protección de acceso y escritura en unidad C:\ insuficiente.
- Verificación de instalación y uso de compiladores
- Con la instalacion de Microsoft.NET framework se instala un compilador csc
- Ultimo usuario visible al iniciar
- Es posible ver el ultimo usuario que inicio sesion en el sistema
- Uso de software de control remoto
- Como logmein, etc.. Depende de la politica, o el modo de acceso VPN, LAN, etc..
- Acceso al directorio activo en modo lectura
- Si se accede a un entorno de AD
- Volcado de credenciales en memoria
- Bypass solución de Filtrado web de la compañía
- Comprobación de borrado seguro de archivos
- Uso de software y protocolos de descarga masiva
- bittorrent, edonkey, etc..
- Exfiltración de información – Canales encubiertos
- DNS, ICPM, etc.
- Permisos de cierre de procesos críticos del sistema
- antivirus, etc.
- Uso de software con vulnerabilidades conocidas
- Credenciales almacenada en navegador
- Antivirus/antimalware instalado y ejecutándose
- Firewall habilitado y configurado
- Uso de herramientas de hacking con antivirus habilitado
Last modified 8mo ago