# Internas

### Equipo local

Es principalmente el punto de partida de las auditorías internas, y debemos realizar una serie de comprobaciones en los equipos proporcionados, entre las que se encuentran:

#### BIOS

* Contraseña
  * Está configurada?
  * Es robusta?
* Cambio opciones de arraque permitido
* Arranque por medios externos des/habilitado
* Mecanismo de reseteo BIOS?

#### Sistema Operativo

* Cifrado de unidad de disco&#x20;
  * Bitlocker? LUKS? --> Ataque de sticky keys
* Modificación de archivos de accesibilidad&#x20;
  * displayswitch.exe, magnifier.exe,narrator.exe, utilman.exe, sethc.exe
* Vulnerabilidades conocidas del sistema operativo&#x20;
  * Revisar parches aplicados
* Modo a prueba de fallos accesible
* Uso de unidades extraíbles
* Unidades de red accesibles&#x20;
  * Verificar permisos como escritura o acceso a información no permitida
* Servicios en los que la ruta al ejecutable esta configurada sin comillas
* Binarios susceptibles a DLL Hijacking
* Escritura o creación de claves en el registro
* Existencia de credenciales en GPO de SYSVOL&#x20;
  * Si se accede a dominio
* Verificar la posibilidad de ejecución de comandos&#x20;
  * Activex, cmd, powershell, wmic, cscript, etc..
* Verificar el uso de protocolos vulnerables&#x20;
  * NBT-NS, LLMR, MDNS, etc...
* Restricción de instalación de aplicaciones insuficiente&#x20;
  * Posibilidad de instalar aplicaciones con las credenciales del usuario otorgadas
* Protección de acceso y escritura en unidad C:\ insuficiente.
* Verificación de instalación y uso de compiladores&#x20;
  * Con la instalacion de Microsoft.NET framework se instala un compilador csc
* Ultimo usuario visible al iniciar&#x20;
  * Es posible ver el ultimo usuario que inicio sesion en el sistema
* Uso de software de control remoto
  * Como logmein, etc.. Depende de la politica, o el modo de acceso VPN, LAN, etc..
* Acceso al directorio activo en modo lectura&#x20;
  * Si se accede a un entorno de AD
* Volcado de credenciales en memoria
* Bypass solución de Filtrado web de la compañía
* Comprobación de borrado seguro de archivos
* Uso de software y protocolos de descarga masiva
  * bittorrent, edonkey, etc..
* Exfiltración de información – Canales encubiertos&#x20;
  * DNS, ICPM, etc.
* Permisos de cierre de procesos críticos del sistema&#x20;
  * antivirus, etc.
* Uso de software con vulnerabilidades conocidas
* Credenciales almacenada en navegador
* Antivirus/antimalware instalado y ejecutándose
* Firewall habilitado y configurado
* Uso de herramientas de hacking con antivirus habilitado

### Herramientas

* [Responder](https://github.com/SpiderLabs/Responder)
* [Impacket](https://github.com/SecureAuthCorp/impacket)
* [PowerSploit](https://github.com/PowerShellMafia/PowerSploit)
* [SharpHound](https://github.com/BloodHoundAD/SharpHound)
* [Certipy](https://github.com/ly4k/Certipy)

### Recursos y enlaces de referencia


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://wiki.securiters.com/securiters-wiki/internas.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.