// PsExec Hunt — Movimiento lateral a través de SMB
// Network Forensics · PCAP Analysis
// Dificultad: Easy
// Categoría: Network Forensics
DISCLAIMER
Este writeup tiene fines educativos y de práctica profesional. Las respuestas corresponden al laboratorio público de CyberDefenders. Las direcciones IP, nombres de host, cuentas de usuario y credenciales mostradas pertenecen al escenario controlado del reto, no a infraestructura ni sistemas reales.
SERIE // CyberDefenders Labs #08
0x00 — Introducción
Octavo post de la serie de laboratorios de CyberDefenders.
En esta ocasión analizamos PsExec Hunt, un laboratorio de Network Forensics donde investigamos actividad de movimiento lateral sospechoso detectado por un IDS.
El escenario parte de una alerta del Sistema de Detección de Intrusiones que marcó actividad de movimiento lateral involucrando PsExec, una herramienta administrativa legítima de Microsoft que los atacantes explotan frecuentemente para ejecutar comandos de forma remota y moverse lateralmente por la red.
Mi misión es analizar el archivo PCAP proporcionado, identificar el punto de entrada del atacante, las máquinas comprometidas, el alcance de la violación y cualquier indicador crítico que revele sus tácticas.
A lo largo del análisis diseccionaremos el protocolo SMB (Server Message Block) estudiaremos la autenticación NTLM, rastrearemos el uso de recursos compartidos administrativos y reconstruiremos la secuencia completa del ataque.
0x01 — El Escenario
| Elemento | Detalle |
|---|---|
| Alerta inicial | IDS detecta movimiento lateral vía PsExec |
| Evidencia | Archivo PCAP con tráfico SMB/NTLM |
| Herramienta | Wireshark para análisis de tráfico de red |
| Protocolo objetivo | SMB2 sobre TCP puerto 445 |
| Misión | Identificar IP del atacante, hosts comprometidos, credenciales usadas, alcance del ataque |
0x02 — Análisis
¿Cuál es la dirección IP de la máquina desde la que el atacante obtuvo acceso inicialmente?
Para rastrear eficazmente las actividades del atacante dentro de la red, comenzamos analizando el archivo PCAP en Wireshark.
Usando Statistics → Protocol Hierarchy, podemos identificar los protocolos utilizados en el tráfico de red.
La jerarquía de protocolos muestra una clara presencia del protocolo SMB (Server Message Block), que representa el 93.5% de los paquetes capturados. SMB es el protocolo estándar para compartir archivos y administración remota en redes Windows, y opera típicamente sobre TCP puerto 445.
Al investigar los patrones de tráfico específicos asociados con SMB, identificamos una negociación SMB entre dos direcciones IP: 10.0.0.130 y 10.0.0.133.
Durante este proceso, el cliente procedente de 10.0.0.130 envió una SMB Negotiate Protocol Request a 10.0.0.133.
Esta solicitud es un paso fundamental para establecer la comunicación entre cliente y servidor, donde se acuerda la versión del protocolo SMB para las comunicaciones posteriores.
El inicio de la negociación SMB desde esta IP sugiere que 10.0.0.130 sirvió como punto de entrada del atacante a la red, permitiéndole pivotar a otras máquinas comprometidas.
Respuesta: 10.0.0.130
¿Cuál es el nombre de host de la máquina a la que el atacante pivotó primero?
Para determinar el nombre de host de la primera máquina comprometida, seguimos el flujo TCP identificado en el análisis anterior.
El tráfico SMB revela el uso de NTLM (NT LAN Manager) como parte del proceso de autenticación.
NTLM es un protocolo de autenticación de desafío-respuesta comúnmente utilizado en entornos Windows.
Implica el intercambio de mensajes de negociación, desafíos y respuestas entre cliente y servidor.
Los atacantes suelen explotar este protocolo para reutilizar credenciales comprometidas y autenticarse en sistemas remotos.
En el desglose detallado del intercambio NTLM, vemos que el servidor responde al cliente con un mensaje NTLMSSP_CHALLENGE que contiene metadatos críticos del sistema.
- NetBIOS nombre de dominio
- NetBIOS nombre de la computadora
- DNS nombre de dominio/computadora
A partir de la información extraída, el nombre de host de la máquina de destino se identifica como SALES-PC. Esta interacción es un sello distintivo de las tácticas de movimiento lateral, donde el atacante intenta ampliar su alcance y establecer control sobre recursos adicionales de la red.
Respuesta: SALES-PC
¿Cuál es el nombre de usuario de la cuenta que el atacante utilizó para la autenticación?
Para identificar el nombre de usuario utilizado por el atacante, rastreamos hasta el inicio de la sesión dentro del tráfico SMB.
El paquete SMB2 Session Setup Request revela los detalles críticos relacionados con el proceso de autenticación.
Al inspeccionar la solicitud de configuración de la sesión, la información NTLM revela el identificador de sesión y el nombre de cuenta utilizado durante la autenticación.
La información capturada indica que el nombre de usuario ssales se empleó para la autenticación.
Este nombre de usuario pertenece al host HR-PC, como se observa en los metadatos del paquete.
El uso de la cuenta ssales sugiere que el atacante comprometió esta cuenta de usuario o aprovechó credenciales robadas para autenticarse y obtener acceso al sistema de destino.
Este es un indicador crítico de compromiso (IoC) ya que revela la identidad que se está explotando en la violación.
El nombre de la cuenta proporciona contexto valioso para que los equipos de respuesta a incidentes evalúen los permisos y roles asociados con este usuario comprometido.
Respuesta: ssales
¿Cuál es el nombre del ejecutable utilizado por el atacante en la máquina objetivo?
Para descubrir qué hizo el atacante en la máquina objetivo, analizamos las solicitudes SMB más abajo en el flujo TCP.
La comunicación revela que el atacante emitió un Create Request vía SMB para configurar un servicio ejecutable en la máquina de destino.
Los detalles del paquete capturado muestran que el atacante creó un archivo llamado PSEXESVC.exe en la máquina objetivo.
Este ejecutable es el componente de servicio de PsExec, una herramienta legítima de Microsoft frecuentemente mal utilizada por los atacantes para el movimiento lateral.
PsExec opera copiando su ejecutable de servicio, PSEXESVC.exe, al sistema de destino mediante un recurso compartido administrativo.
Una vez transferido, el servicio se ejecuta, proporcionando al atacante acceso remoto y capacidades de ejecución en el host comprometido.
La función Export Objects → SMB de Wireshark confirma la transferencia del ejecutable PSEXESVC.exe, destacando la necesidad de monitorear las acciones administrativas y la actividad de usuarios, particularmente cuando herramientas como PsExec se despliegan en entornos de producción.
Respuesta: PSEXESVC.exe
¿Qué recurso compartido utilizó el atacante para instalar el servicio en la máquina comprometida?
Para comprender cómo el atacante instaló el servicio en la máquina comprometida, necesitamos analizar el recurso compartido de red específico utilizado durante la transferencia del ejecutable.
PsExec, como herramienta de administración remota, generalmente aprovecha los recursos administrativos compartidos en los sistemas de destino.
El paquete SMB2 Tree Connect Request, que se utilizó para crear el ejecutable del servicio PSEXESVC.exe, indica que el servicio fue instalado en el recurso compartido ADMIN$.
El recurso compartido ADMIN$ es un recurso administrativo oculto asignado al directorio del sistema Windows, generalmente C:\Windows. Se utiliza para tareas administrativas como transferencias y ejecución remota de archivos.
La presencia del ID del árbol que apunta a \\10.0.0.133\ADMIN$ confirma este hallazgo.
Usar el recurso compartido ADMIN$ permitió al atacante copiar el servicio ejecutable de PsExec en la máquina de destino, iniciar su ejecución y obtener acceso remoto.
Esta táctica es un indicador clásico de movimiento lateral, ya que se basa en acceder a recursos privilegiados y aprovechar credenciales válidas.
Respuesta: ADMIN$
¿Qué recurso compartido de red utilizó PsExec para la comunicación entre las dos máquinas?
Para identificar el recurso compartido de red utilizado para la comunicación entre las dos máquinas, analizamos las solicitudes SMB Tree Connect realizadas por el atacante.
La solicitud de Tree Connect muestra una conexión a \\10.0.0.133\IPC$, confirmando que el recurso compartido IPC$ se aprovechó durante el ataque.
El recurso compartido IPC$ (Inter-Process Communication) es un recurso administrativo especial en sistemas Windows que facilita la comunicación entre procesos.
A diferencia de los recursos compartidos típicos para almacenamiento de archivos, IPC$ se utiliza para intercambiar datos relacionados con tareas administrativas, como la gestión de servicios y llamadas a procedimientos remotos (RPC).
Esta acción se utiliza comúnmente en comunicaciones SMB, particularmente para operaciones que involucran autenticación, administración remota de servicios y ejecución de comandos.
Los atributos de conexión en el paquete indican que la sesión se estableció utilizando la cuenta comprometida ssales.
Al utilizar el recurso compartido IPC$, PsExec estableció un canal para RPC y otras comunicaciones entre procesos necesarias para ejecutar comandos remotamente en el sistema de destino.
Respuesta: IPC$
¿Cuál es el nombre de host de la segunda máquina a la que el atacante intentó acceder?
Para identificar el nombre de host de la segunda máquina a la que el atacante apuntaba para el movimiento lateral, examinamos el tráfico de red para detectar intentos de comunicación adicionales.
El tráfico capturado revela que el atacante intentó comunicarse con un objetivo diferente dentro de la red.
El análisis de paquetes muestra una SMB Negotiate Protocol Request desde la IP del atacante, 10.0.0.130, a la IP de destino 10.0.0.131.
El proceso de configuración de sesión SMB incluye detalles de negociación NTLM que revelan la identidad de la máquina objetivo.
Al analizar la respuesta NTLM Challenge desde el destino, el nombre de host se extrae de los metadatos de la sesión.
El nombre de host se identifica como MARKETING-PC, como se refleja en atributos como el NetBIOS nombre de dominio y el NetBIOS nombre de la computadora.
Sin embargo, una inspección más profunda del flujo TCP revela que el intento de autenticación en MARKETING-PC falló.
El paquete muestra un STATUS_LOGON_FAILURE, indicando que las credenciales utilizadas no fueron válidas para este sistema, o que el atacante no tenía los permisos necesarios.
Este intento fallido proporciona información valiosa sobre el alcance del ataque y las limitaciones del atacante, confirmando que aunque intentó expandir su compromiso a MARKETING-PC, no logró obtener acceso exitoso a este sistema.
Respuesta: MARKETING-PC
0x03 — Cadena de Ataque
| Fase | Acción | Detalle técnico |
|---|---|---|
| 1. Punto de entrada | Atacante desde 10.0.0.130 | SMB Negotiate Protocol Request |
| 2. Autenticación | Credencial comprometida: ssales | NTLM authentication desde HR-PC |
| 3. Objetivo 1 (éxito) | SALES-PC comprometido | 10.0.0.133 — acceso exitoso |
| 4. Despliegue | Instalación de PSEXESVC.exe | Via ADMIN$ share — Create Request |
| 5. Comunicación | Canal IPC$ establecido | Tree Connect a IPC$ para RPC |
| 6. Ejecución remota | PsExec activo en SALES-PC | Control remoto completo |
| 7. Objetivo 2 (fallo) | MARKETING-PC rechazó acceso | 10.0.0.131 — STATUS_LOGON_FAILURE |
0x04 — Lecciones Aprendidas
1. PsExec: herramienta legítima, uso malicioso
PsExec es una herramienta administrativa legítima de Microsoft, pero su abuso para movimiento lateral es extremadamente común en ataques reales.
Los SOC deben monitorizar la creación del servicio PSEXESVC.exe en recursos compartidos administrativos, especialmente cuando se origina desde cuentas no privilegiadas o fuera de horarios habituales.
2. Recursos compartidos administrativos como vectores de ataque
Los recursos compartidos ocultos ADMIN$ y IPC$ son objetivos clásicos para movimiento lateral.
Deshabilitar estos recursos compartidos en sistemas que no requieren administración remota reduce significativamente la superficie de ataque.
Si son necesarios, implementar restricciones basadas en IP y monitorización continua.
3. Autenticación NTLM como evidencia forense
El tráfico NTLM capturado en PCAP revela información crítica: nombres de host, cuentas comprometidas, dominios y resultados de autenticación.
Los investigadores deben buscar específicamente paquetes NTLMSSP_CHALLENGE y NTLMSSP_AUTH para reconstruir la cadena de movimiento lateral.
4. Detección de movimiento lateral en SIEM
Las reglas de detección deben activarse ante
(1) conexiones SMB inusuales entre hosts internos
(2) creación del servicio PSEXESVC.exe
(3) múltiples intentos de autenticación desde una misma IP origen a diferentes destinos
(4) acceso a ADMIN$ e IPC$ fuera de patrones normales.
La correlación de eventos es clave.
5. Los fallos de autenticación también cuentan
El intento fallido en MARKETING-PC (STATUS_LOGON_FAILURE) es evidencia valiosa y revela el alcance del intento de compromiso y sugiere que las credenciales robadas tenían permisos limitados.
Los logs de fallos de autenticación son tan importantes como los exitosos para entender el alcance completo del ataque.
6. Análisis de PCAP como skill fundamental
Wireshark y el análisis profundo de protocolos (SMB, NTLM, RPC) son skills fundamentales para Network Forensics.
Conocer cómo filtrar por tcp.stream, usar Statistics → Protocol Hierarchy, exportar objetos SMB y diseccionar paquetes NTLM permite reconstruir ataques complejos desde tráfico capturado.
[EOF] "SMB traffic tells the story — follow the packets, find the attacker"