ADExplorer – cómo enumerar un dominio cuando el antivirus no está de acuerdo

En la entrega de hoy vamos a estar hablando sobre cómo enumerar un dominio cuando el antivirus no está de acuerdo.

Durante una auditoría de seguridad, enumerar el dominio es una tarea crucial para obtener una visión completa de la infraestructura del dominio corporativo, para lo cual se utilizan herramientas de recolección como SharpHound o PowerView. Sin embargo, estas herramientas a menudo son detectadas y bloqueadas por antivirus y otras medidas de seguridad implementadas. Además, dadas las restricciones de tiempo típicas de una auditoría, no siempre es posible evadir con éxito estas defensas para realizar la enumeración deseada.

En estos casos, surge la necesidad de buscar alternativas que no solo sean efectivas, sino también discretas. Una excelente alternativa es ADExplorer.exe, una herramienta proporcionada por Sysinternals y firmada por Microsoft. Al estar firmada por una entidad reconocida como Microsoft, ADExplorer es generalmente considerada como no maliciosa y por lo tanto, es menos probable que sea bloqueada por los antivirus.

No obstante, si un atacante está aprovechando herramientas como ADExplorer. Puede darse la ocasión donde la consulta LDAP pueda contener objectClass=* u objectGuid=*. Esto no es necesariamente ideal porque, dependiendo del tamaño de la organización, esto podría contener una gran cantidad de datos para recuperar y podría interrumpir las comunicaciones entre un C2 y la estación de trabajo en la que se ejecuta el agente.

Partiendo de tener un usuario de dominio, ADExplorer permite inspeccionar el dominio y realizar un snapshot del Directorio Activo en un fichero .dat. Aunque este snapshot no contiene tanta información detallada como una extracción completa realizada por SharpHound (no se enumeran sesiones, no proporciona un path de ataque, etc), sigue siendo un punto de partida muy útil para la enumeración del dominio.