Descripción de la Tecnica
Domain Groups es una técnica del MITRE ATT&CK que se enfoca en identificar y explotar los grupos y permisos de nivel dominio dentro de un entorno de red. Los adversarios pueden utilizar esta información para determinar qué usuarios pertenecen a grupos específicos, lo que les permite identificar usuarios con privilegios elevados, como administradores del dominio.
Como Funciona
Los atacantes utilizan comandos y herramientas específicas para explorar los grupos de nivel dominio. Por ejemplo, en entornos Windows, pueden ejecutar net group /domain a través de la utilidad Net, que es parte del MITRE ATT&CK (S0039). En sistemas macOS, el comando dscacheutil -q group permite extraer información sobre grupos y usuarios. Estas acciones permiten a los adversarios mapear estructuras de permisos y encontrar oportunidades para comprometer cuentas o realizar actividades maliciosas.
Actores que la Utilizan
No se han identificado actores específicos asociados directamente con esta técnica. Sin embargo, es una práctica común entre amenazas cibernéticas avanzadas que buscan aprovechar estructuras de permisos en redes corporativas.
Detección
La detección implica monitorear activos de nivel dominio y analizar comportamientos anómalos. Se pueden observar comandos como net group /domain o dscacheutil -q group en registros de sistema o logs de seguridad. Además, se deben revisar cambios en los grupos y permisos que no estén alineados con políticas de gestión.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
Para mitigar el riesgo, se recomienda: 1. Configurar permisos de nivel dominio con el principio de mínimo privilegio. 2. Realizar auditorías periódicas de grupos y usuarios. 3. Implementar monitoreo en tiempo real de comandos y solicitudes que afecten estructuras de grupo. 4. Utilizar herramientas de seguridad para detectar y alertar sobre accesos no autorizados a información de permisos.