Detección de intrusiones empleando técnicas de cyber-deception con credenciales señuelo en Directorio Activo

Abstract

Uno de los principales retos que afronta el sector de la ciberseguridad defensiva es detectar incidentes de seguridad de la forma más rápida posible para minimizar el impacto de los ataques. Las técnicas de ataque usadas por los cibercriminales son cada vez más sofisticadas, por lo que las alternativas de defensa deben evolucionar en consecuencia. Una de las múltiples soluciones de seguridad defensiva es engañar al enemigo, desviándolo hacia redes y equipos señuelo (honeypots), las cuales emulan los sistemas reales en un entorno controlado. En la actualidad, estas honeypots han evolucionado hacia aproximaciones más centradas en la distribución de señuelos en los propios sistemas reales, en lo que se conoce como técnicas de deception. Este trabajo se centra en una técnica de deception en particular, fundamentada en la distribución de credenciales señuelo en los equipos de un dominio de Directorio Activo mediante la herramienta de código libre DCEPT. Esta herramienta implementa un enfoque único y sin alternativa en la comunidad de código abierto. Las credenciales señuelo distribuidas pertenecen a un usuario real, por lo que no se puede identificar que son falsas. Igualmente, la detección del uso de unas credenciales se realiza de forma totalmente transparente al entorno de Directorio Activo, con una simple escucha al tráfico que llega a los controladores de Dominio. Tampoco existe riesgo de que estas credenciales sean utilizadas por los atacantes, ya que no son las correctas para el usuario real. Pese a esta aproximación tan interesante, el proyecto DCEPT no ha tenido un mantenimiento activo por parte de sus desarrolladores y ha quedado obsoleto. El objetivo de este trabajo es actualizar, completar y mejorar esta herramienta, de tal manera que resulte útil y accesible para la comunidad para que este proyecto pueda seguir evolucionando.

One of the main challenges that the cyberdefense industry faces is the early detection of security incidents to minimize the impact of the cyberattacks. The attacking techniques used by cybercriminals are becoming increasingly sophisticated. Thus, defense techniques must evolve accordingly. One of the many defensive security solutions is to deceive the enemies by guiding them to decoy networks and hosts (honeypots), which emulate real systems in a controlled environment. Nowadays, these honeypots have evolved towards approaches that focus on the distribution of decoys in real systems, which is known as deception techniques. This master thesis focuses on a particular deception technique, based on the distribution of decoy credentials on computers in an Active Directory domain using the open source tool DCEPT. This tool implements a unique approach with no alternative in the open source community. The distributed decoy credentials belong to a real user, so they cannot be identified as fake. Likewise, the detection of the use of credentials is completely transparent to the Active Directory environment, by simply sniffing the traffic that arrives at the Domain Controllers. Moreover, there is no risk of these credentials being used by the attackers because these mentioned credentials are not the correct ones for the real user. Although this approach is appealing, the DCEPT project has not been actively maintained by its developers and has become obsolete. This master thesis aims to update, complete, and improve this tool to make it useful and accessible to the community so that this project can continue developing.

Un dels principals reptes que afronta el sector de la ciberseguretat defensiva és detectar incidents de seguretat de la forma més ràpida possible per a minimitzar l'impacte dels atacs. Les tècniques d'atac usades pels cibercriminals són cada vegada més sofisticades, per la qual cosa les alternatives de defensa han d'evolucionar en conseqüència. Una de les múltiples solucions de seguretat defensiva és enganyar l'enemic, desviant-lo cap a xarxes i equips cimbell (honeypots), les quals emulen els sistemes reals en un entorn controlat. En l'actualitat, aquestes honeypots han evolucionat cap a aproximacions més centrades en la distribució de cimbells en els propis sistemes reals, en el que es coneix com a tècniques de deception. Aquest treball se centra en una tècnica de deception en particular, fonamentada en la distribució de credencials cimbell en els equips d'un domini de Directori Actiu mitjançant l'eina de codi lliure DCEPT. Aquesta eina implementa un enfocament únic i sense alternativa en la comunitat de codi obert. Les credencials cimbell distribuïdes pertanyen a un usuari real, per la qual cosa no es pot identificar que són falses. Igualment, la detecció de l'ús d'unes credencials es realitza de forma totalment transparent a l'entorn de Directori Actiu, amb una simple escolta al trànsit que arriba als controladors de Domini. Tampoc existeix risc que aquestes credencials siguin utilitzades pels atacants, ja que no són les correctes per a l'usuari real. Malgrat aquesta aproximació tan interessant, el projecte DCEPT no ha tingut un manteniment actiu per part dels seus desenvolupadors i ha quedat obsolet. L'objectiu d'aquest treball és actualitzar, completar i millorar aquesta eina, de tal manera que resulti útil i accessible per a la comunitat perquè aquest projecte pugui continuar evolucionant.