Expertos de Microsoft han lanzado una herramienta denominada NetCease que fue diseñado para realizar actividades de reconocimiento de los piratas informáticos.
La herramienta NetCease fue desarrollada por dos investigadores del equipo de investigación de amenazas avanzadas de Microsoft Analytics (ATA), Itai Grady y Tal Be'ery. Los expertos en seguridad presentarán la herramienta en el Sombrero Negro Europa donde van a explorar el concepto de métodos "ofensiva de defensa cibernética".
La aplicación no está clasificado como una herramienta oficial de Microsoft, pero se ha hecho disponible en la Galería de Microsoft de TechNet bajo las condiciones de la licencia de "software en Portales de documentación."
El reconocimiento es una fase crítica de un ataque, los atacantes recopilar información de los posibles objetivos identificados máquinas de destino, componentes potenciales de puente para los movimientos laterales y usuarios privilegiados.
Una vez que el atacante ha identificado los objetivos, se puede utilizar la función NetSessionEnum para recuperar información sobre las sesiones establecidas en controladores de dominio (DC) u otros servidores de la red.
Un NetSessionEnum podría permitir a los atacantes descubrir el nombre del dispositivo, la dirección IP, el nombre de usuario que establece una sesión, y la duración de cada sesión.
Estos datos son esenciales para que los atacantes se mueven lateralmente dentro de la red de su víctima.
Cualquier usuario de dominio tiene el permiso de forma predeterminada para ejecutar el método NetSessionEnum forma remota. De todos modos, es posible endurecer el acceso al método NetSessionEnum modificando manualmente una clave de registro. El NetCease es un script de PowerShell que modifica esta clave del Registro modificar para prohibir la ejecución de la NetSessionEnum.
Herramienta "NetCease "es un pequeño script de PowerShell (PS) que altera neto Sesión Enumeración (NetSessionEnum) permisos predeterminados. Este proceso de endurecimiento evita que los atacantes obtener fácilmente información valiosa de reconocimiento para moverse lateralmente dentro de la red de su víctima." Segun la descripción NetCease .
"El guión NetCease endurece el acceso al método NetSessionEnum quitando el permiso de ejecución para el grupo de usuarios autenticados y añadiendo permisos para interactiva, servicio y por lotes de inicio de sesión sesiones", explican los expertos. "Esto permitirá que cualquier administrador, operador y usuario del sistema de forma remota poder de llamar este método, y cualquier / lote interactiva / servicio de inicio de sesión de sesión de llamarlo a nivel local."
NetCease es fácil de usar, los administradores tienen que ejecutar el script de PowerShell como administrador en el equipo que necesitan para endurecer (es decir, un controlador de dominio), a continuación, reinícielo.
