¡Active Directory en mi mundo! Como hacker criminal, NTDS.dit

Redazione RHC : 26 septiembre 2025 16:17

Active Directory (AD) contiene las claves digitales de la organización: el acceso no autorizado a este servicio expone información confidencial y credenciales que pueden llevar a un compromiso total del dominio.

Entre los recursos más críticos se encuentra el archivo NTDS.dit , que almacena el conjunto de datos del dominio y los hashes de contraseñas. Este artículo reconstruye un caso real en el que actores maliciosos obtuvieron privilegios elevados, extrajeron el archivo NTDS.dit e intentaron exfiltrarlo eludiendo los controles comunes.

El valor estratégico de NTDS.dit

En un entorno Windows dominado por Active Directory, el archivo NTDS.dit (NT Directory Services Directory Information Tree) representa la base de datos central del dominio: contiene cuentas de usuario, políticas de grupo, objetos de computadora y, fundamentalmente, los hashes de contraseñas de todas las cuentas, incluidas aquellas con privilegios de administrador de dominio.

Robar este archivo permite a un atacante, una vez en posesión de la subdivisión del sistema (SYSTEM), descifrar el contenido, extraer los hashes, atacarlos sin conexión y suplantar cualquier identidad dentro del dominio. En esencia, obtienen un «mapa» de la identidad digital de la organización.

Según una investigación de Trellix, tras obtener privilegios administrativos en un host, los atacantes suelen usar herramientas nativas (como vssadmin ) para crear instantáneas de volumen y eludir los bloqueos de archivos, copiando NTDS.dit sin interrumpir los procesos de AD. Después, reparan el archivo con esentutl y extraen las credenciales con utilidades como SecretsDump , Mimikatz o incluso con comandos de copia simples. Estas operaciones pueden ser sorprendentemente silenciosas para muchas defensas tradicionales, por lo que la detección basada en el comportamiento es crucial.

Secuencia de ataque: Extracción y exfiltración de NTDS.dit

El análisis del caso muestra una cadena típica de acciones: inicio de sesión, recopilación de hashes, uso de hashes para autenticar, movimiento lateral y luego extracción de NTDS.dit junto con el subárbol de registro SYSTEM, que es esencial para obtener la clave de arranque necesaria para el descifrado.

Fases principales ilustradas:

1. Recolección de hashes : los adversarios obtienen hashes de contraseñas a través de métodos como DCSync o extrayéndolos de la memoria del proceso lsass.exe (por ejemplo, con Mimikatz), lo que requiere privilegios elevados en el host comprometido.
2. Autenticación a través de hashes robados : la técnica «Pass the Hash» (MITRE ID: T1550.002) permite a un atacante autenticarse como el usuario comprometido, utilizando algoritmos NTLM o AES (por ejemplo, /ntlm , /aes128 , /aes256 ) para conectarse a recursos de red o iniciar procesos remotos.
3. Expansión del compromiso : las credenciales obtenidas se utilizan para ejecutar herramientas como PSExec y llegar a otros sistemas, expandiendo la superficie de ataque y repitiendo el ciclo de robo de credenciales y movimiento lateral.
4. Volcar y exfiltrar NTDS.dit y SYSTEM : para copiar NTDS.dit incluso con AD habilitado, los atacantes pueden:
   • crear una instantánea del volumen utilizando el Servicio de instantáneas de volumen (VSS) y tomar el archivo de la copia;
   • utilizar utilidades de PowerShell (por ejemplo, Invoke-NinjaCopy o similar) para copiar archivos en uso;
   • Utilice herramientas del sistema como NTDSUtil.exe o DSDBUtil.exe para exportar datos.

A partir de la instantánea, los atacantes toman NTDS.dit y la subárbol SYSTEM, los colocan en una carpeta de almacenamiento provisional, los verifican con editores hexadecimales o herramientas de análisis de AD y luego los archivan para su exfiltración a servidores externos.

Recomendaciones operativas

El análisis revela recomendaciones de mitigación concretas: monitorear y bloquear movimientos SMB y transferencias de archivos inusuales, controlar y limitar el uso de herramientas de administración remota como PsExec, fortalecer la protección de cuentas con altos privilegios y habilitar verificaciones para detectar creaciones de Volume Shadow Copy y otras técnicas conocidas de eludir el bloqueo de archivos.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli