Movimiento Lateral en Lab: SMB, WMI y WinRM con Foco en Deteccion

El movimiento lateral no es magia: es el atacante reutilizando credenciales validas dentro de protocolos legitimos. En nuestro lab GOAD con tres Windows Server 2019 y un Windows 10 unidos al dominio sevenkingdoms.local, logramos pivotar de una estacion al DC en menos de ocho minutos usando solo SMB, WMI y WinRM. El objetivo aqui no es entrenar pivote por pivote, sino mostrar donde cada tecnica grita en los logs y como escribir la deteccion antes del incidente real. Si todavia no montaste tu ambiente, empieza por Pentest de Active Directory: Kerberoasting Paso a Paso en Lab GOAD para tener el terreno listo.

Empezamos con el SMB clasico usando impacket-psexec y smbexec. Tras capturar un hash NTLM con Responder, ejecutamos psexec.py sevenkingdoms.local/jaime@10.0.10.10 -hashes :aad3b... y caemos como SYSTEM. El ruido aqui es enorme: creacion del servicio RemComSvc en Event ID 7045, escritura del binario en ADMIN$ generando Event ID 5145 con share name ADMIN$ y RelativeTargetName terminando en .exe aleatorio. La regla Sigma queda corta: filtrar 7045 donde ServiceFileName contiene patrones de ocho caracteres alfanumericos seguidos de .exe atrapa el 90 por ciento de las variantes de psexec sin firma de binario.

WMI cambia la superficie de log. Usando wmiexec.py de impacket o Invoke-WmiMethod directo, el proceso hijo nace de WmiPrvSE.exe en vez de services.exe. En Sysmon, esto aparece como Event ID 1 con ParentImage=C:\Windows\System32\wbem\WmiPrvSE.exe y CommandLine conteniendo cmd.exe /Q /c que es la firma estandar de wmiexec. Combinalo con Event ID 3 (network connection) saliendo de la maquina objetivo por el puerto 445 para extraer el output y tienes alta confianza. Para hunting amplio de este tipo de abuso de LOLBin, vale repasar Hunting de Living-off-the-Land Binaries en Windows con KQL y adaptar las queries a tu stack.

WinRM es el preferido de operadores modernos porque parece trafico administrativo legitimo. Disparamos Enter-PSSession -ComputerName dc01 -Credential $cred y Invoke-Command remoto. Los indicadores quedan en tres lugares: Microsoft-Windows-WinRM/Operational Event ID 91 (sesion creada), Security Event ID 4624 con LogonType 3 y AuthenticationPackage Negotiate, y Sysmon Event ID 1 con ParentImage=wsmprovhost.exe. La regla Sigma buena correlaciona wsmprovhost.exe como padre de cualquier proceso que no sea conhost.exe o csrss.exe dentro de una ventana de cinco minutos, eliminando el ruido del PowerShell DSC.

La parte que nadie te cuenta: detectar tecnica aislada es facil, detectar la cadena entera es lo que importa. Construimos un playbook en Elastic que encadena hit de Responder -> crack del hash -> primer logon Type 3 con hash NT en maquina nunca antes accedida por ese usuario -> spawn de wsmprovhost o WmiPrvSE en menos de diez minutos. Esa correlacion temporal redujo el falso positivo de 40 alertas por dia a 2 por semana en nuestro lab simulado. Si recien empiezas con Sigma y Elastic, Threat Hunting con Sigma y Elastic: Del Indicador a la Regla de Deteccion cubre el pipeline ELK + sigmac que usamos como base.

Vale recordar que todo esto presupone telemetria decente. Sin Sysmon con config Olaf o SwiftOnSecurity, sin PowerShell Script Block Logging habilitado (Event ID 4104) y sin recoleccion de los canales WinRM y WMI-Activity, tus reglas Sigma se vuelven poesia. En GOAD aplicamos un GPO minimo que activa esos cuatro puntos en todas las maquinas; es el mismo baseline que recomendamos en Hardening de Windows 11 para Estaciones de Trabajo de Alto Riesgo para estaciones corporativas. Telemetria primero, regla despues, siempre en ese orden, sino estas detectando al atacante por el silencio de los logs que no llegan.

Por ultimo, OPSEC del investigador: los laboratorios de movimiento lateral generan hashes, tickets kerberos y muestras que no pueden filtrarse a tu estacion real. Trabajamos siempre en VMs aisladas en red host-only, con snapshots antes de cada ejecucion, y nunca reusamos passwords entre lab y produccion personal. Para una vision mas amplia del aislamiento de ambientes de investigacion, OPSEC para Investigadores de Seguridad: Modelo de Amenaza Personal trae el modelo que adoptamos. Takeaway practico: elige una tecnica esta semana (sugerimos WMI por ser la menos detectada), reprodu cela en GOAD, escribe la regla Sigma, valida con Atomic Red Team T1047 y solo despues pasa a la siguiente. Ciclo corto, deteccion real.