Por qué la forense de AD difiere de otros sistemas
Active Directory tiene 2 niveles de compromiso. Nivel 1 (silver ticket): el atacante extrajo hash de cuenta de servicio — afecta ese servicio. Nivel 2 (golden ticket): el atacante extrajo hash KRBTGT — puede forjar TGT válido para cualquier usuario, indefinidamente, sin ser detectado por la mayoría de los EDRs. La forense debe identificar qué nivel se alcanzó. El golden ticket exige reconstrucción; el silver puede remediarse.
Errores que invalidan la forense de AD
- 1.Reiniciar el DC antes de captura de memoria. La evidencia en RAM se pierde en el reboot. Capture primero.
- 2.Reset KRBTGT antes de recolectar evidencia. El reset destruye parte del historial forense. Recolecte primero, reset después.
- 3.Confiar solo en EDR sin logs nativos del AD. El EDR puede estar deshabilitado en los DCs (el atacante avanzado lo hace). Los logs nativos del Security Event son la fuente de verdad.
- 4.No consultar AD recycle bin. Los atacantes borran cuentas de auditoría y las recrean. El recycle bin (si está habilitado) preserva el registro.
6 evidencias críticas a recolectar
- 1
Logs del Security Event del DC primario
Eventos 4768 (TGT request), 4769 (TGS request), 4624 (logon), 4672 (special privileges). Busque: TGT con lifetime no estándar, TGS para servicios inusuales, cuentas nuevas con privilegio elevado.
- 2
Dump de memoria de los DCs
Procdump en lsass.exe (o crash dump completo). El análisis revela Mimikatz en ejecución, golden ticket siendo generado o DCSync activo. La evidencia en RAM es volátil — capture antes del reboot.
- 3
Logs del EDR + Sysmon
Eventos de creación de proceso lsadump::dcsync (DCSync explícito), comhijack para persistencia, mimikatz.exe o variantes ofuscadas (Invoke-Mimikatz en PowerShell).
- 4
Auditoría de cambios de schema AD
Cambios en AdminSDHolder, creación de nuevas OUs con permiso delegado, modificación de Group Policy. El atacante avanzado deja persistencia vía GPO.
- 5
Análisis de la cuenta KRBTGT
Atributo 'pwdLastSet' de KRBTGT. Si difiere de la instalación inicial del dominio Y usted no hizo reset planeado, indica DCSync. Verifique el historial vía 'msDS-KeyVersionNumber'.
- 6
Línea de tiempo correlacionando todos los logs
Use Plaso o Splunk para construir timeline única. Identifique momento de la entrada inicial, escalada a domain admin, momento de DCSync (si ocurrió).
Preguntas frecuentes
¿Cómo saber si golden ticket fue generado?
Señales: (1) evento 4769 con TGS para cuenta inexistente; (2) evento 4768 con ticket lifetime > 10h (el default del AD es 10h); (3) DCSync detectado en logs o EDR; (4) hash KRBTGT accedido vía SAM dump. Si alguno confirmado: tratar como golden ticket existente.
¿El reset KRBTGT 2× resuelve el golden ticket?
Sí, si se ejecuta correctamente. Reset 1× invalida tickets activos (incluso golden); 2× con 10-24h de intervalo garantiza que los tickets en caché tampoco funcionen. Sin 2× consecutivos, el atacante puede renovar ticket válido durante la ventana.
¿Cuándo es necesaria la reconstrucción completa?
Cuando se obtuvo golden ticket Y hubo persistencia vía cambio de schema AD (GPO maliciosa, AdminSDHolder modificado, cuentas con sIDHistory adulterado). Esos controles no se revierten por reset KRBTGT.
¿Qué herramientas usa la forense de AD?
Pagas: Velociraptor, Velocidex, Plaso. Open source: ADRecon (snapshot), BloodHound (análisis de paths), reglas Sigma en SIEM. PowerShell DSInternals para análisis offline del NTDS.dit.
¿Cuánto tarda la forense de AD?
Captura inicial: 4-8h. Análisis completo: 3-7 días hábiles. Informe con timeline y recomendaciones: +2-3 días. Total: ~10-14 días para forense corporativa completa.
¿Active Directory comprometido?
Ingenieros Microsoft en hasta 6h. Cadena de custodia documentada para uso judicial.