El taller estará dividido en dos jornadas de cuatro horas cada una. En las primeras seis horas, los alumnos recibirán una formación teórica/práctica en la que tratarán todos los puntos del curso. En las últimas dos horas, dispondrán de un entorno de pruebas donde poner en práctica el conocimiento adquirido durante las seis horas anteriores siguiendo la metodología de CTF

Objetivos

En esta formación, orientada a las auditorías sobre entornos de Directorio Activo, los asistentes podrán conocer todos los puntos necesarios para realizar una revisión de seguridad sobre este tipo de entornos. A lo largo del taller, los asistentes conocerán las vulnerabilidades y fallos de configuración más comunes que se pueden encontrar en un Directorio Activo y entenderán los abusos que se pueden realizar. Además, dispondrán del conocimiento necesario para corregir (o mitigar) estas vulnerabilidades en entornos reales.

Durante el curso, los asistentes también tendrán oportunidad de emplear herramientas ampliamente utilizadas por los auditores de seguridad para detectar y explotar las vulnerabilidades durante sus ejercicios de pentest, como PowerView, BloodHound o Mimikatz, para entender y poner en práctica toda la teoría tratada. Además, se realizará un pequeño apartado para realizar mecanismos de evasión de AMSI.

Por último, todos los asistentes podrán poner a prueba el conocimiento adquirido en un entorno controlado siguiendo el formato CTF.

Programa

Día 1 Módulos I, II, III: 4 horas

• Módulo I: Introducción a Directorio Activo
• Módulo II: PowerShell para Pentesting
• Módulo III: Reconocimiento y enumeración avanzada en un Directorio Activo
• Módulo IV: Fallos de configuración de Directorio Activo y cómo encontrarlos

Día 2: Módulos IV, V, VI: 4 horas

• Módulo IV: Fallos de configuración de Directorio Activo y cómo encontrarlos
• Módulo V: Extracción de secretos
• Módulo VI: Cómo desplazarse por un Directorio Activo: Técnicas avanzadas de movimiento lateral
• Módulo VII: Laboratorio práctica donde poner a prueba lo comentado

Contenido del curso

Módulo I: Introducción a Directorio Activo

• Qué es un Directorio Activo breve resumen)
• Confianzas en un AD: Direcciones y Transitividad
• Kerberos
• KillChain

Módulo II: PowerShell para Pentesting

• Conceptos básicos: Variables y procesos hijo
• Conceptos básicos: Políticas de ejecució n
• Conceptos básicos: Modos de lenguaje
• Conceptos básicos: Cargar módulos de PowerShell
• AMSI: AntiMalware Scan Interface

Módulo III: Reconocimiento y enumeración avanzada en un Directorio Activo

• Enumeración en AD
• Enumeración manual Power View vs AD Module
• Enumeración automática: BloodHound vs ADRecon

Módulo IV: Fallos de configuración de Directorio Activo y cómo encontrarlos

• Abuso de ACLs
• Forced Authentication
• Abuso de Kerberos
• Módulo V: Extracción de secretos
• Conceptos básicos: LSASS
• Conceptos básicos: SAM y secretos LSA
• Conceptos básicos: NT DS DIT

Módulo VI: Cómo desplazarse por un Directorio Activo: Técnicas ofensivas de movimiento lateral

• Impacket
• Pass The Hash
• Pass The Ticket
• CrackMapExec

Módulo VII Laboratorio práctica donde poner a prueba lo comentado

• Laboratorio emulando un Dominio de Windows con varias máquinas para realizar una serie de ejercicios prácticos con el objetivo de afianzar los conocimientos explicados durante el taller Se trata de un entorno controlado donde poder ejecutar comandos y herramientas, y familiarizarse con entornos de Directorio Activo

A quién va dirigido

• Profesionales del sector de la Ciberseguridad: Pentesters, auditores, analistas de ciberseguridad,
• Threat Hunters
• Administradores de sistemas y/o redes especializados en Directorio Activo.
• Estudiantes.
• Docentes.
• Cuerpos y Fuerzas de Seguridad
• Cualquiera que esté interesado en aprender sobre Directorio Activo desde un punto de vista ofensivo y defensivo.

Conocimientos requeridos

• Entornos Windows
• Funcionamiento TCP/IP
• Protocolos de red comunes
• Sistemas Operativos

Ponentes

Helena Jalain. Ingeniera de Telecomunicación por la Universidad Politécnica de Madrid. Es auditora de ciberseguridad senior en Osane Consulting / Zerolynx. Posee más de seis años de experiencia en investigación, consultoría de ciberseguridad y servicios técnicos de seguridad ofensiva, entre los que se incluyen auditorías internas de redes e infraestructura y pentesting web. Posee las certificaciones CEH y OSCP. Ha participado también en diversos proyectos de operaciones de seguridad y desarrollo seguro para clientes a nivel nacional e internacional. Comenzó como investigadora en el grupo de Redes y Servicios de Telecomunicación e Internet (RSTI) en la Universidad Politécnica de Madrid, y estuvo trabajando en el Cyberlab de KPMG España.a participado como ponente en varias conferencias de seguridad, entre las que destacan RootedCON 2019 y Mundo Hacker Day 2019. En este 2022, fue ponente en la RootedCON 2022 junto a Jorge Escabias y Luis Vázquez en su taller “Introducción al Pentest sobre entornos de Directorio Activo”.

Jorge Escabias. Graduado en Ciencias Matemáticas por la Universidad Complutense de Madrid y Máster en Ciberseguridad por la UNIR. Es Team Leader en Osane Consulting / Zerolynx y cuenta con un dilatado conocimiento en Red Team, exploiting y pentesting sobre entornos de Directorio Activo. Posee las principales certificaciones del mercado como el OSCP y el OSCE de Offensive Security, el CRTO de ZeroPointSecurity y el CRTE de Pentester Academy. Actualmente se encarga de realizar las labores de auditoría anuales y pentesting en un cliente de seguros multinacional. Anteriormente ha realizado labores de hacking para otros clientes y de Threat Hunting, junto al despliegue e integración de los diferentes elementos de seguridad defensiva pertenecientes a un centro de operaciones (SOC). Ha sido ponente en las XV Jornadas del CCN-CERT con su taller “Creando y automatizando tu propio laboratorio de Directorio Activo” y RootedCON 2022 junto a Helena Jalain y Luis Vázquez en su taller “Introducción al Pentest sobre entornos de Directorio Activo”.