¿Por qué Discovery es importante para los defensores?

Porque es una de las fases más ruidosas del ataque. Los comandos de descubrimiento (whoami, net group, nltest, ipconfig) y las consultas LDAP masivas generan artefactos detectables. Es una ventana de detección clave antes del movimiento lateral y la exfiltración.

¿Cómo detectar enumeración de Active Directory?

Monitorizar consultas LDAP masivas desde endpoints de usuario (Event 1644 con filtros costosos), ejecución de herramientas como SharpHound/ADFind/BloodHound, y comandos net group/nltest desde hosts no administrativos.

¿Los comandos de Discovery son maliciosos por sí solos?

No. whoami, ipconfig, net user son comandos legítimos. Lo que los hace sospechosos es el contexto: ejecutados en secuencia rápida, desde un proceso hijo de Office o PowerShell ofuscado, o desde un endpoint donde ese usuario nunca los ejecuta.

IntermedioMITRE ATT&CKDiscoveryreconocimientoActive Directorydetección

Discovery (TA0007): Reconocimiento Interno del Entorno

Análisis de la táctica Discovery de MITRE ATT&CK (TA0007): técnicas de reconocimiento interno que usan los atacantes para mapear la red, enumerar Active Directory, identificar sistemas y datos valiosos tras el compromiso inicial.

MalwareIntel Research·27 de mayo de 2026·4 min lectura

Serie: MITRE ATT&CK y D3FEND — Parte 9

Discovery es cómo el atacante mapea la red comprometida para identificar objetivos de alto valor

La táctica Discovery (TA0007) documenta las técnicas que los adversarios usan para obtener información sobre el entorno comprometido: sistemas, usuarios, permisos, redes, servicios y datos. Esta información guía las decisiones del atacante: hacia dónde moverse, qué credenciales buscar, y dónde están los datos valiosos.

Técnicas agrupadas por objetivo

Descubrimiento de sistema local

Técnica	ID	Comandos típicos
System Information Discovery	T1082	`systeminfo`, `hostname`, `uname -a`
System Owner/User Discovery	T1033	`whoami`, `whoami /all`, `id`
System Time Discovery	T1124	`w32tm /tz`, `date`
System Location Discovery	T1614	Geolocalización via IP pública
Software Discovery	T1518	`wmic product list`, `dpkg -l`, `tasklist`
Security Software Discovery	T1518.001	Enumerar AV/EDR instalados

Secuencia típica post-compromiso:

whoami /all
hostname
ipconfig /all
systeminfo
tasklist /v
net user
net localgroup administrators
wmic product list brief

Esta secuencia ejecutada en 30 segundos desde un proceso hijo de PowerShell o cmd es un indicador fuerte de reconocimiento automatizado.

Descubrimiento de red y sistemas remotos

Técnica	ID	Métodos
Remote System Discovery	T1018	`net view`, `ping sweep`, `nbtstat`, ARP scan
Network Share Discovery	T1135	`net view \\host /all`, `net share`
Network Service Discovery	T1046	Port scan, `nmap`, Advanced IP Scanner
System Network Configuration	T1016	`ipconfig`, `route print`, `arp -a`
System Network Connections	T1049	`netstat -ano`, `ss -tulnp`
Network Sniffing	T1040	Captura de tráfico para mapear la red

Detección de network scanning:

Sysmon Event 3: un solo host generando conexiones a múltiples IPs en puertos específicos
IDS/NDR: detección de SYN scan, ARP scan masivo
Firewall: conexiones rechazadas masivas desde un endpoint

Descubrimiento de Active Directory

Las técnicas más críticas en entornos corporativos Windows:

Técnica	ID	Herramientas
Account Discovery	T1087	`net user /domain`, `Get-ADUser`, LDAP queries
Domain Trust Discovery	T1482	`nltest /domain_trusts`, BloodHound
Permission Groups Discovery	T1069	`net group "Domain Admins" /domain`
Password Policy Discovery	T1201	`net accounts /domain`
Group Policy Discovery	T1615	`gpresult /r`, `Get-GPO`

BloodHound/SharpHound es la herramienta de discovery más peligrosa: en una sola ejecución enumera todo el AD (usuarios, grupos, sesiones, ACLs, trusts) y calcula rutas de escalada. Una ejecución de SharpHound genera miles de consultas LDAP en segundos.

Detección de BloodHound:

Consultas LDAP masivas (Event 1644 con filtros que incluyen objectClass=*, samAccountType)
Sysmon Event 1: SharpHound.exe o similar con argumentos -c All
Anomalía: endpoint de usuario ejecutando miles de LDAP queries en minutos

Descubrimiento de archivos y datos

Técnica	ID	Objetivo
File and Directory Discovery	T1083	Localizar documentos, bases de datos, backups
Browser Bookmark Discovery	T1217	Encontrar URLs de aplicaciones internas
Cloud Infrastructure Discovery	T1580	Enumerar recursos cloud (VMs, storage, DBs)
Cloud Service Discovery	T1526	Servicios cloud activos y configuración

Detección: el contexto lo es todo

Los comandos de Discovery son legítimos individualmente. La detección se basa en contexto y correlación:

Reglas de detección efectivas

Regla 1: Reconocimiento en secuencia

SI en < 60 segundos desde el mismo proceso:
  whoami + hostname + ipconfig + systeminfo + net group
ENTONCES → alerta ALTA: automated reconnaissance

Regla 2: Discovery desde proceso anómalo

SI parent process = WINWORD.EXE o EXCEL.EXE
  Y child process ejecuta comandos Discovery
ENTONCES → alerta CRITICA: post-exploitation via macro

Regla 3: AD enumeration masiva

SI > 50 consultas LDAP desde non-DC en < 5 minutos
ENTONCES → alerta ALTA: posible BloodHound/AD enumeration

Regla 4: Network scanning interno

SI host genera > 100 conexiones a puertos 445/3389/22 en < 10 minutos
ENTONCES → alerta MEDIA: network scanning

Conclusión

Discovery es la fase de mapeo que precede al movimiento lateral. Los comandos son legítimos, pero el patrón (secuencia rápida, proceso padre anómalo, volumen de queries LDAP) delata al atacante. La detección basada en correlación y behavioral analytics es más efectiva que buscar comandos individuales. La siguiente táctica, Lateral Movement, es cómo el atacante usa la información obtenida.

Fuentes y referencias

MITRE ATT&CK: Discovery (TA0007)
SpecterOps: BloodHound documentation
Red Canary: "Discovery techniques in the wild" (2025)
SANS: "Detecting Reconnaissance" (whitepaper)