Enumeració / Discovery
Discovery (MITRE ATT&CK) #
Què és #
Discovery - un cop dins de la xarxa o amb accés a un sistema - realitzar activitats per conèixer l'entorn intern: - Enumerant: - usuaris - equips - serveis - comparticions - processos - configuracions - topologia. L'objectiu és identificar vies per fer moviment lateral, escalada de privilegis o accedir a dades sensibles.
Taula: tècniques i subtècniques representatives #
| Tècnica | Descripció breu | Subtècniques / exemples |
|---|---|---|
| Network Service Scanning | Escaneig de la xarxa interna per veure quins serveis estan actius. | - TCP/UDP port scanning (nmap). - Escaneig de serveis específics (RDP, SMB, SSH). |
| Network Share Discovery | Identificar comparticions SMB/NFS i permisos associats. | - Enumeració de shares SMB (smbclient, enum4linux).- Llistar permisos i fitxers accessibles. |
| System Network Configuration Discovery | Obtenir informació de la configuració de xarxa del sistema (IP, rutes, adaptadors). | - ipconfig / ifconfig.- Taula de rutes ( route, ip route). |
| System Owner/User Discovery | Identificar usuaris, propietaris i rols del sistema. | - net user / getent passwd.- Consultes LDAP/AD per usuaris. |
| Account Discovery | Enumerar comptes i grups amb privilegis (admins, servei). | - Llistar membres de grups (Domain Admins). - Consultes net group o powershell Get-ADGroupMember. |
| Process Discovery | Veure processos en execució per trobar eines, agents i possibles credencials en memòria. | - tasklist / ps.- Buscar processos sospitosos o eines d'administració remota. |
| File and Directory Discovery | Cercar fitxers rellevants (credencials, configuracions, backups). | - Buscar fitxers amb extensions comunes (*.bak, *.config).- Recerques en directoris d'usuari i compartides. |
| Query Registry (Windows) | Llegir el registre per obtenir configuracions de sistema, serveis i programes. | - Consultes a claus del registre per configs d'aplicacions, serveis o persistència. |
| Remote System Discovery | Identificar altres sistemes accessibles i el seu paper (servidors, estacions). | - ARP scanning, ping sweeps, consultes AD/LDAP per trobar hosts. |
| Software Discovery | Identificar aplicacions instal·lades i versions (web servers, DBs). | - Llistar paquets instal·lats (dpkg, rpm).- Consultar wmic product o Get-WmiObject en Windows. |
| Security Software Discovery | Detectar antivirus, EDR i altres controls per esquivar-los o desactivar-los. | - Buscar serveis i processos d'antivirus. - Consultar configuracions d'agent de seguretat. |
| Permission Groups Discovery | Revisar grups i permisos per localitzar comptes amb més privilegis. | - Enumerar membres de grups administratius a nivell local o de domini. |
Detecció i mitigació ràpida #
Detecció
- Monitoritzar
- Comunicacions inusuals a la xarxa (escaneigs, pings massius, ARP sweeps).
- Consultes LDAP/AD massives o per enumeracions de comptes.
- Detecció d'eines d'enumeració (ús repetitiu de
rpcclient,smbclient,nmapdes d'una mateixa IP).
Mitigació
- Aplicar segmentació de xarxa i llistes d'accés (ACL) per minimitzar la superfície accessible.
- Habilitar rèpliques d'AD segures i restringir consultes LDAP públiques.
- Registrar i limitar l'accés a comparticions internes; aplicar principle of least privilege.
- Monitoritzar i restringir l'ús d'eines d'administració i ports d'administració (RDP, SMB).
- Habilitar MFA i revisió periòdica de membres en grups privilegats.
Eines típiques (ús legítim i per a classe) #
nmap,masscan— escaneig de ports i serveis.enum4linux,smbclient,rpcclient— enumeració SMB/AD.ldapsearch,adfind, PowerShell (Get-AD*) — consultes a Active Directory / LDAP.net,tasklist,ps,ss,ip,route— informació local de sistema i processos.Wireshark,tcpdump— inspecció de trànsit per detectar descobrir activitats de discovery passives.