BloodHound
BloodHound es una herramienta que utiliza la teoría de grafos para mapear relaciones entre usuarios, grupos, equipos y permisos en AD.
Última actualización
¿Te fue útil?
BloodHound es una herramienta que utiliza la teoría de grafos para mapear relaciones entre usuarios, grupos, equipos y permisos en AD.
Última actualización
¿Te fue útil?
Su enfoque basado en grafos permite visualizar relaciones y permisos dentro de un entorno Active Directory (AD) de forma clara y precisa, permitiendo identificar rutas de ataque.
Está formada por:
SharpHound: recolector que obtiene información desde el entorno.
BloodHound GUI: interfaz gráfica para visualizar e investigar rutas de ataque.
Neo4j: base de datos de grafos utilizada por BloodHound para almacenar los datos.
Para obtener los mejores resultados, sus versiones de Bloodhound y Sharphound deben ser compatibles.
Si no se puede descargar desde el propio equipo windows por no contar con acceso a internet, se puede descargar SharpHound.ps1
usando un servidor temporal desde un equipo que se encuentre en la misma red que el equipo víctima Windows.
En el equipo controlado por el atacante:
Desde el equipo windows víctima:
Puedes usar SharpHound.exe
o SharpHound.ps1
para recolectar desde una máquina con acceso al dominio.
Vía exe:
Vía PowerShell:
Si el dominio es muy grande o se está en un entorno muy controlado por EDR o SOC. Es mejor realizar la recolección por partes:
Si se quiere filtrar por OU:
ACLs:
Grupos:
LocalAdmin:
Vía exe:
Vía PowerShell:
Si el dominio es muy grande o se está en un entorno muy controlado por EDR o SOC. Es mejor realizar la recolección por partes:
ACLs:
Grupos:
Desde una máquina Kali se pueden hacer uso de las credenciales de los usuarios víctima para enumerar la información del AD:
Este método es ideal cuando tienes credenciales, pero no acceso a una máquina Windows.
En entornos corporativos de gran tamaño, la arquitectura de Active Directory suele mantenerse bastante estable. Aunque pueda haber ciertos cambios como nuevas incorporaciones o ajustes menores, la estructura principal de unidades organizativas (OUs), usuarios, grupos y permisos rara vez sufre modificaciones drásticas.
Lo que sí cambia constantemente es otra cosa: las sesiones activas de los usuarios y los eventos de autenticación. Como Sharphound realiza una recopilación puntual del estado del dominio, la información relacionada con sesiones puede volverse obsoleta con rapidez, especialmente si los usuarios cierran sesión o si otras cuentas inician nuevas sesiones tras la recolección de datos.
Para mantener una visión precisa y actual del entorno, es recomendable:
Realizar una primera ejecución de Sharphound utilizando --CollectionMethods All
, lo cual capturará toda la información relevante del dominio (estructura, permisos, relaciones, etc.).
Posteriormente, realizar ejecuciones periódicas únicamente del método Session
, que se enfoca exclusivamente en detectar nuevas sesiones de usuario sin volver a recopilar toda la estructura AD.
El momento ideal para capturar sesiones activas suele ser:
A media mañana (sobre las 10:00), cuando los usuarios ya han iniciado su jornada laboral.
Después del almuerzo (alrededor de las 15:00-16:00), justo antes de que comiencen a conectarse de nuevo tras volver de haber comido.
Sharphound no elimina sesiones anteriores automáticamente, por lo que es buena idea purgar la información obsoleta antes de cargar nuevos datos. Desde BloodHound, accede a la pestaña "Database Info" y utiliza la opción "Clear Session Information" para mantener la base de datos limpia y centrada en sesiones realmente activas.
Instala BloodHound:
Abre la GUI de BloodHound (bloodhound
).
Hacer click en "Upload data" y importar el .zip
generado por SharpHound.
Buscar todos los usuarios que tengan el rol de "Global Administrator":
Todas las rutas a las máquinas virtuales:
Todas las rutas hacia "Azure KeyVaults":
Todas las rutas hacia "Azure Resource Group":
Buscar los Owners de "Azure Groups":
Obtener todos los equipos con delegación sin restricciones que no forman parte del grupo de controladores de dominio:
Cuando comprometas un usuario o máquina, márcalo como Owned (Mark User as Owned).
Muchas consultar integradas utilizan esta propiedad del nodo para identificar caminos más cortos desde los principios que se poseen hasta ojetivos de alto valor.
Se muestran las acciones que se pueden ejecutar a continuación a partir de dichos nodos.
Marcar otros objetivos como de alto valor.
Por ejemplo, los equipos con delegación sin restricciones no se marcan como de alto valor. Sin embargo, si comprometes solo uno de ellos dentro de un dominio, eres el administrador del dominio.
Adaptación al contexto, un servidor SQL que almacene información altamente sensible de acuerdo a la naturaleza de la organización puede ser de alto valor para la organización.
Otros:
Otros:
Antes de ejecutar la herramienta, si hay AV, es necesario evadir la protección de AMSI:
Conexión e importación:
Accede a y configura el password de neo4j
.