Lo que el incidente de Stryker revela sobre la estrategia de ataque de Handala.
Leer el blog

Lo que el incidente de Stryker revela sobre la estrategia de ataque de Handala. Leer el blog →

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Icono de hamburguesa línea superior
Icono de hamburguesa línea media
Icono de hamburguesa línea inferior
Técnica de ataque

Escalada de privilegios

La escalada de privilegios es un método común que los atacantes de hoy en día utilizan para crear violaciones de datos catastróficas. Esto es lo que necesitas saber sobre esta técnica de ataque.

Definición
Cómo funciona
Por qué lo utilizan los atacantes
Detección
Preguntas frecuentes
Definición

¿Qué es la escalada de privilegios?

Privilege escalation is a technique attackers use to gain unauthorized access to privileged accounts — ones that can be used to deploy malware and conduct other malicious activities. It typically starts when an attacker gains access to the corporate network by taking over a standard user account. Once inside, they work their way up to admin, superuser, and other high-level hosts and accounts.

Tipos de escalada de privilegios

Escalada vertical de privilegios (Privilege Elevation)

Escalada vertical de privilegios o elevación de privilegios se produce cuando un atacante pasa de un nivel de privilegios inferior a otro superior. Por ejemplo, un usuario normal que obtiene derechos administrativos. Esta técnica permite acceder a funciones protegidas del sistema y a datos sensibles, aumentando el daño potencial.

Escalada horizontal de privilegios

La Escalada Horizontal de Privilegios consiste en acceder a los privilegios o recursos de otro usuario con niveles de acceso similares. Esta técnica permite a los atacantes acceder o manipular los datos o servicios de otro usuario sin autorización.

Cómo funciona

¿Cómo funciona la escalada de privilegios?

Escalada vertical de privilegios

Esto ocurre cuando un atacante con derechos de acceso limitados, como un usuario normal, explota vulnerabilidades para obtener privilegios de nivel superior, como acceso administrativo o de raíz. Esta es la forma más común de escalada de privilegios y puede conllevar importantes riesgos de seguridad.

El proceso de escalada vertical de privilegios

Escalada horizontal de privilegios

‍Eneste caso, un atacante se mueve lateralmente dentro de un sistema, obteniendo acceso a recursos o cuentas de otros usuarios que tienen derechos de acceso similares. Aunque la escalada horizontal no implica escalar a privilegios superiores, permite a los atacantes explotar otras cuentas o datos.

El proceso de escalada horizontal de privilegios

¿Cómo proceden los atacantes para escalar privilegios?

1. Adquisición de acceso inicial

Los atacantes comienzan entrando en un sistema con privilegios de usuario básicos. Lo consiguen a través de métodos como phishing, donde las comunicaciones engañosas engañan a los usuarios para que revelen sus credenciales; explotando vulnerabilidades en software o sistemas que no se han protegido adecuadamente; o utilizando credenciales por defecto que nunca se cambiaron tras la instalación. El objetivo principal en esta fase es establecer un punto de apoyo dentro del sistema, creando una plataforma desde la que puedan lanzar nuevos ataques.

2. Enumeración y reconocimiento del sistema

Una vez dentro del sistema, los atacantes se dedican a enumerar y reconocer el sistema para recopilar información detallada sobre el entorno. Recopilan datos sobre la arquitectura del sistema, las versiones del sistema operativo, las aplicaciones instaladas, los servicios en ejecución y las cuentas de usuario existentes. Esta recopilación de información se ve facilitada por herramientas como utilidades de línea de comandos, scripts del sistema y herramientas de escaneado de red, que ayudan a trazar la estructura del sistema e identificar posibles objetivos de explotación.

3. Identificación de vulnerabilidades

Con un conocimiento exhaustivo del sistema, los atacantes proceden a identificar vulnerabilidades que puedan ser explotadas para escalar sus privilegios. Buscan vulnerabilidades de software, como errores sin parchear o fallos que tengan exploits conocidos. También buscan puntos débiles en la configuración, como servicios mal configurados, permisos de archivo inseguros que permitan el acceso no autorizado o ajustes predeterminados que no se hayan protegido adecuadamente. Además, evalúan los problemas de credenciales, como contraseñas débiles que son fáciles de adivinar o descifrar, credenciales reutilizadas en varios sistemas o testigos de autenticación expuestos que pueden ser interceptados.

4. Técnicas de explotación

To take advantage of the identified vulnerabilities, attackers employ various exploitation techniques. When exploiting software vulnerabilities, they may perform buffer overflows by injecting code into a program through overrunning a buffer's boundary, or conduct code injection by inserting malicious code into trusted applications. Abusing misconfigurations is another tactic; attackers might exploit insecure file permissions to access or modify files due to improper permission settings, or leverage SUID/SGID abuse on Unix/Linux systems by exploiting files that execute with higher privileges.

Credential theft is a critical method used to gain unauthorized access. Attackers might engage in password hash dumping, extracting password hashes from system memory or files to crack them offline. Keylogging is another technique, where they record keystrokes to capture passwords and other sensitive information. To bypass security controls, attackers may manipulate tokens, using stolen tokens to impersonate higher-privileged users. On Windows systems, they might perform DLL hijacking by replacing legitimate Dynamic Link Library (DLL) files with malicious ones to execute code with elevated privileges. Exploiting weaknesses in User Account Control (UAC) allows them to perform administrative tasks without prompting the user, effectively bypassing a key security feature.

5. Obtención de privilegios elevados

Armed with these techniques, attackers aim to gain elevated privileges within the system. They execute exploits by running specialized scripts or tools designed to take advantage of the identified vulnerabilities. Deploying privilege escalation payloads involves introducing malware specifically crafted to escalate privileges upon execution. Service exploitation is another avenue, where attackers target services that are running with higher privileges, manipulating them to execute arbitrary code that grants them increased access rights.

6. Actividades posteriores a la explotación

Después de escalar con éxito sus privilegios, los atacantes se involucran en actividades de post-explotación para solidificar su control y prepararse para nuevas operaciones. Para mantener el acceso, pueden crear puertas traseras instalando métodos persistentes que les permitan volver a entrar en el sistema incluso después de reinicios o actualizaciones de seguridad. Añadir nuevas cuentas de usuario con privilegios administrativos les garantiza un acceso continuo sin depender del exploit inicial.

Covering their tracks is essential to avoid detection. Attackers manipulate logs by deleting or altering event records to hide evidence of their activities. They may also modify file timestamps to prevent forensic analysts from identifying anomalies during investigations. With elevated privileges, attackers can perform lateral movement within the network. Network propagation involves using their access to infiltrate other systems connected to the network, expanding their reach and potential impact. They leverage obtained credentials to infiltrate additional resources, a process known as credential reuse, which allows them to compromise more accounts and systems without triggering immediate suspicion.

Proceso de escalada de privilegios del hacker
Por qué lo utilizan los atacantes

¿Por qué utilizan los atacantes la escalada de privilegios?

Los atacantes utilizan técnicas de elevación de privilegios para obtener acceso no autorizado a niveles superiores de permisos dentro de un sistema o red. Al elevar sus privilegios, los atacantes pueden realizar acciones que normalmente están restringidas, como acceder a datos confidenciales, instalar malware, alterar las configuraciones del sistema o tomar el control total de un sistema. Comprender por qué los atacantes utilizan estas técnicas es crucial para aplicar medidas de seguridad eficaces.

A continuación se exponen las principales razones y métodos que subyacen al uso de la escalada de privilegios por parte de los atacantes:

Acceso a datos sensibles

  • Confidential Information: Elevated privileges allow attackers to access sensitive files, databases, and communications that are restricted to regular users.
  • Exfiltración de datos: Los atacantes pueden robar datos valiosos, como identidades personales, registros financieros o información comercial privada.

Control y persistencia del sistema

  • Mantener el acceso: Con mayores privilegios, los atacantes pueden crear puertas traseras, nuevas cuentas de usuario o modificar los mecanismos de autenticación para mantener el acceso a largo plazo.
  • Desactivación de medidas de seguridad: Pueden desactivar programas antivirus, cortafuegos o sistemas de detección de intrusos para evitar ser detectados.

Movimiento lateral dentro de las redes

  • Ampliación del alcance: La escalada de privilegios permite a los atacantes moverse a través de diferentes sistemas y segmentos de red, aumentando el alcance de su ataque.
  • Comprometer sistemas adicionales: El acceso a las credenciales administrativas permite a los atacantes infiltrarse en otros dispositivos y servidores de la red.

Ejecución de ataques avanzados

  • Instalación de Malware o ransomware: a menudo se requieren privilegios superiores para instalar o ejecutar software malicioso que puede cifrar datos o interrumpir operaciones.
  • Manipulación del sistema: Los atacantes pueden alterar las configuraciones, horarios o servicios del sistema para beneficiar sus objetivos.

Eludir las restricciones de seguridad

  • Anulación de permisos: Los privilegios elevados permiten a los atacantes saltarse los permisos del sistema de archivos y los controles de acceso.
  • Acceso a funciones restringidas: Pueden realizar acciones que normalmente están limitadas a los administradores, como modificar los registros de auditoría.

Recogida de credenciales

  • Recopilación de contraseñas y tokens: Los atacantes pueden extraer credenciales de la memoria, archivos de configuración o llaveros.
  • Extracción de tickets Kerberos: Pueden utilizar técnicas como Pass-the-Hash o Kerberoasting para obtener tokens de autenticación.

Interrupción y sabotaje

  • Denegación de servicio (DoS): Los atacantes pueden detener servicios críticos o sobrecargar los recursos del sistema.
  • Manipulación o destrucción de datos: Pueden alterar o borrar datos, causando problemas operativos o pérdida de confianza.

Beneficios financieros

  • Robo de dinero: El acceso a los sistemas financieros permite a los atacantes manipular transacciones o desviar fondos.
  • Exigencias de rescate: Pueden cifrar datos y exigir un pago por las claves de descifrado.

Cubrir pistas

  • Manipulación de registros: Con mayores privilegios, los atacantes pueden borrar o alterar los registros para ocultar sus actividades.
  • Desactivación de las herramientas de supervisión: Pueden apagar o interferir con las soluciones de monitoreo de seguridad.
Detección de plataformas

Cómo detectar actividades relacionadas con la escalada de privilegios

Most organizations use a combination of security measures to prevent privilege escalation attacks. Zero trust, identity and access management (IAM) and privileged access management (PAM) are all common examples.

But there’s a problem with these approaches: They all rely on a single point of entry. What’s more, most organizations have 3x more privileged accounts than employees, making it impossible to manage them all. And once access is granted, it can easily be manipulated. 

To stay ahead of privilege escalation, continuous visibility is key. Constantly monitoring and analyzing account activity allows you to identify abuse in real time. And the only way to do it accurately is with AI. 

Aquí es donde entran en juego la detección y la respuesta ampliadas a las amenazas. Vectra AI utiliza docenas de detecciones basadas en IA para identificar actividades anómalas relacionadas con privilegios en la red, la identidad y la red pública cloud. Estas detecciones no se centran en anomalías, sino en comportamientos reales de los atacantes. Desde solicitudes inusuales en AWS y Entra ID hasta solicitudes de servicio sospechosas, cada una se correlaciona, analiza, valida y clasifica automáticamente para mostrar a los defensores cuándo los atacantes están intentando utilizar la escalada de privilegios.

Detección
Anomalía de privilegio: Anfitrión inusual
Más información
Detección
Anomalía de privilegio: Trío insólito
Más información
Detección
Anomalía de privilegio: Servicio inusual
Más información
Detección
Anomalía de privilegios: cuenta inusual en el host
Más información
Detección
Anomalía de privilegios: servicio inusual - Insider
Más información
Detección
Anomalía de privilegios: servicio inusual del host
Más información
Detección
Escalada de privilegios sospechosa de AWS
Más información
Detección
Anomalía en la operación de privilegios de Azure AD
Más información
Detección
Concesión de privilegios de administrador sospechoso de AWS
Más información
Explorar todas las detecciones

Proteja sus cuentas privilegiadas con detecciones avanzadas

La escalada de privilegios es solo una de las formas en que los atacantes modernos intentan burlar sus herramientas de prevención. Nuestras potentes detecciones basadas en inteligencia artificial están diseñadas para detectar cualquier amenaza en función del comportamiento de los atacantes y cubren el 90 % de las técnicas relevantes de MITRE ATT&CK .

Explorar la plataforma
Más información

Preguntas frecuentes