IntermedioMITRE ATT&CKCredential AccessMimikatzKerberosLSASSdetección

Credential Access (TA0006): Robando Credenciales del Sistema

Análisis completo de la táctica Credential Access de MITRE ATT&CK (TA0006): técnicas de robo de credenciales. LSASS dump, Kerberoasting, LLMNR poisoning, keylogging, brute force, y detección de cada técnica para analistas SOC.

MalwareIntel Research··6 min lectura
Serie: MITRE ATT&CK y D3FEND — Parte 8

Credential Access es cómo el atacante roba las llaves que abren puertas en toda la red

La táctica Credential Access (TA0006) documenta las técnicas que los adversarios usan para robar credenciales: contraseñas, hashes, tokens y tickets. Las credenciales son el recurso más valioso para un atacante post-compromiso: con ellas puede moverse lateralmente, escalar privilegios y acceder a datos sin necesidad de exploits adicionales.

Técnicas principales

T1003: OS Credential Dumping

La familia de técnicas más importante para atacantes y defensores.

T1003.001: LSASS Memory

LSASS (Local Security Authority Subsystem Service) almacena en memoria las credenciales de usuarios autenticados. Un dump de su memoria proporciona:

  • Hashes NTLM de usuarios con sesión activa
  • Tickets Kerberos TGT y TGS
  • Contraseñas en texto claro (en ciertos escenarios)
  • Credenciales de WDigest (si habilitado)

Herramientas de ataque: Mimikatz (sekurlsa::logonpasswords), comsvcs.dll MiniDump, ProcDump, Task Manager (crear dump file), nanodump, PPLdump.

Detección:

SeñalFuenteConfiguración
Acceso a lsass.exeSysmon Event 10TargetImage: lsass.exe, GrantedAccess: 0x1010/0x1038/0x1FFFFF
MiniDump de LSASSSysmon Event 11Archivos .dmp creados
comsvcs.dll cargaSysmon Event 7comsvcs.dll en proceso no estándar
Proceso sospechoso accede LSASSEDRCualquier proceso no-SYSTEM accediendo

Prevención: Credential Guard (Windows 10+) virtualiza LSASS, impidiendo el dump incluso con SYSTEM. Activar via GPO.

T1003.002: SAM (Security Account Manager)

La base de datos SAM contiene hashes de cuentas locales. Accesible via:

  • reg save HKLM\SAM sam.hiv + reg save HKLM\SYSTEM system.hiv
  • Volume Shadow Copy para acceder a SAM bloqueado
  • Mimikatz lsadump::sam

Detección: Sysmon Event 1: reg.exe save en HKLM\SAM o HKLM\SYSTEM.

T1003.003: NTDS.dit

El archivo NTDS.dit en Domain Controllers contiene TODOS los hashes del dominio. Extraerlo equivale a comprometer completamente Active Directory.

Métodos:

  • ntdsutil "ac i ntds" "ifm" "create full c:\temp" (crea backup de NTDS)
  • Volume Shadow Copy + copia del archivo
  • DCSync (T1003.006): simular replicación DC-to-DC sin tocar disco

Detección:

  • Event 4662: replication rights ejercidos desde non-DC (DCSync)
  • Sysmon Event 1: ntdsutil.exe ejecutado
  • Monitorizar acceso a Volume Shadow Copies

T1558: Steal or Forge Kerberos Tickets

T1558.003: Kerberoasting

Cualquier usuario del dominio puede solicitar un TGS (Ticket Granting Service) para cualquier SPN (Service Principal Name). El TGS está cifrado con el hash de la contraseña de la service account. Si la contraseña es débil, se crackea offline.

Flujo:
1. Atacante enumera SPNs con setspn o Get-SPN
2. Solicita TGS para cuentas con SPN
3. Extrae el ticket cifrado
4. Crackea offline con hashcat/JohnTheRipper
5. Obtiene contraseña de la service account

Detección:

  • Event 4769: TGS request con cifrado RC4 (etype 0x17) desde non-service host
  • Volumen anómalo de TGS requests desde un solo host
  • BloodHound: identificar service accounts Kerberoastable con contraseñas antiguas

Prevención: Contraseñas de 25+ caracteres en service accounts, usar gMSA (Group Managed Service Accounts), cifrado AES forzado.

T1558.001: Golden Ticket

Con el hash de la cuenta krbtgt, el atacante puede forjar TGTs arbitrarios con cualquier identidad y privilegio. Acceso total al dominio por tiempo indefinido (hasta que se cambie el hash de krbtgt dos veces).

Detección: Event 4769 con ticket sin Event 4768 previo correspondiente. Anomalías en ticket lifetime.

T1558.004: AS-REP Roasting

Similar a Kerberoasting pero para cuentas con Kerberos pre-authentication deshabilitada. El atacante solicita AS-REP y crackea offline.

Detección: Event 4768 con pre-auth type 0 para cuentas no configuradas intencionalmente.

T1557: Adversary-in-the-Middle

T1557.001: LLMNR/NBT-NS Poisoning

Cuando un host Windows no puede resolver un nombre via DNS, usa LLMNR/NBT-NS (broadcast). Un atacante en la misma red responde con su IP, capturando el hash NTLMv2 del usuario.

Herramientas: Responder, Inveigh.

Detección:

  • Tráfico LLMNR (UDP 5355) y NBT-NS (UDP 137) en la red
  • Respuestas LLMNR desde IPs no autorizadas
  • Desactivar LLMNR y NBT-NS via GPO (mejor prevención)

T1110: Brute Force

Sub-técnicaMétodoDetección
T1110.001: Password GuessingProbar contraseñas comunesEvent 4625 masivos
T1110.002: Password CrackingCrackear hashes offlineNo detectable (offline)
T1110.003: Password SprayingUna contraseña contra muchos usuariosEvent 4625 distribuidos
T1110.004: Credential StuffingCredenciales de breachesEvent 4625 con usuarios variados

Detección password spraying: Múltiples Event 4625 (failed logon) contra diferentes cuentas desde la misma IP en ventana corta, seguidos de un Event 4624 (logon exitoso).

T1056: Input Capture

T1056.001: Keylogging

Capturar pulsaciones de teclado via hooks de Windows (SetWindowsHookEx), raw input, o drivers de teclado.

Detección: EDR con monitoring de API hooking, Sysmon con configuración de input capture.

T1552: Unsecured Credentials

Credenciales almacenadas de forma insegura:

Sub-técnicaDónde buscarEjemplo
T1552.001: FilesScripts, configspassword.txt, web.config con connection strings
T1552.002: RegistryClaves de registroAutologon, VNC passwords
T1552.004: Private Keys.ssh, certificados~/.ssh/id_rsa sin passphrase
T1552.006: Group Policy PreferencesSYSVOLcpassword en GPP XML (descifrable)

Detección: Escaneo periódico de credenciales expuestas, DLP para detectar archivos con patrones de contraseñas.

Mapa de detección completo

TécnicaEvento claveHerramienta
LSASS dumpSysmon 10 (lsass target)Sysmon + EDR
SAM dumpSysmon 1 (reg save)Sysmon
NTDS.ditEvent 4662 (replication)AD auditing
KerberoastingEvent 4769 (RC4 TGS)AD + SIEM
Golden Ticket4769 sin 4768 previoAD + correlation
AS-REP RoastingEvent 4768 (no pre-auth)AD + SIEM
LLMNR/NBT-NSTráfico UDP 5355/137NDR + packet capture
Password Spray4625 masivos distribuidosSIEM correlation
KeyloggingAPI hookingEDR

Conclusión

Credential Access es la táctica que multiplica el impacto de un compromiso. Un solo dump de LSASS puede proporcionar las llaves de todo el dominio. La defensa combina prevención (Credential Guard, gMSA, deshabilitar LLMNR) con detección (Sysmon en LSASS, AD event auditing, correlación de autenticaciones anómalas). La siguiente táctica, Discovery, es cómo el atacante usa esas credenciales para mapear el entorno.

Fuentes y referencias

  • MITRE ATT&CK: Credential Access (TA0006)
  • GentilKiwi: Mimikatz documentation
  • SpecterOps: "An ACE Up The Sleeve" (Kerberos attacks)
  • Microsoft: "Credential Guard" documentation
  • SANS: "Kerberoasting Without Mimikatz" (Tim Medin)

Preguntas frecuentes

Artículos relacionados

MITRE ATT&CK y D3FENDAvanzado

Defense Evasion (TA0005): Evadiendo Todas las Defensas

MITRE ATT&CK y D3FENDIntermedio

Discovery (TA0007): Reconocimiento Interno del Entorno

MITRE ATT&CK y D3FENDIntermedio

Lateral Movement (TA0008): Moviéndose por la Red

Malware en WindowsAvanzado

Credential Dumping en Windows: LSASS, SAM, DPAPI y Más Allá

Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.