BloodHound
¿Qué es BloodHound?
BloodHoundHerramienta de codigo abierto que usa teoria de grafos para mapear y analizar rutas de ataque en Active Directory y Azure AD hacia activos criticos como Domain Admin.
BloodHound es una herramienta de codigo abierto para analisis de rutas de ataque creada por Andy Robbins, Will Schroeder y Rohan Vazarkar, y mantenida actualmente por SpecterOps. Un colector (SharpHound o AzureHound) recopila usuarios, grupos, sesiones, ACL y relaciones de confianza desde Active Directory y Entra ID, y la interfaz de BloodHound los representa en un grafo Neo4j que resalta el camino mas corto desde cualquier principal comprometido hasta activos de alto valor. Los red teams la usan para planear escaladas de privilegios y los blue teams para priorizar el endurecimiento (Tier 0, depuracion de ACL, reduccion de pertenencia a grupos). La recoleccion requiere lectura del directorio y suele ser ruidosa y detectable.
● Ejemplos
- 01
Visualizar la ruta mas corta desde un usuario de helpdesk hasta Domain Admin por anidamiento de grupos.
- 02
Blue team usa BloodHound para retirar derechos DCSync no utilizados de cuentas de servicio antiguas.
● Preguntas frecuentes
¿Qué es BloodHound?
Herramienta de codigo abierto que usa teoria de grafos para mapear y analizar rutas de ataque en Active Directory y Azure AD hacia activos criticos como Domain Admin. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa BloodHound?
Herramienta de codigo abierto que usa teoria de grafos para mapear y analizar rutas de ataque en Active Directory y Azure AD hacia activos criticos como Domain Admin.
¿Cómo funciona BloodHound?
BloodHound es una herramienta de codigo abierto para analisis de rutas de ataque creada por Andy Robbins, Will Schroeder y Rohan Vazarkar, y mantenida actualmente por SpecterOps. Un colector (SharpHound o AzureHound) recopila usuarios, grupos, sesiones, ACL y relaciones de confianza desde Active Directory y Entra ID, y la interfaz de BloodHound los representa en un grafo Neo4j que resalta el camino mas corto desde cualquier principal comprometido hasta activos de alto valor. Los red teams la usan para planear escaladas de privilegios y los blue teams para priorizar el endurecimiento (Tier 0, depuracion de ACL, reduccion de pertenencia a grupos). La recoleccion requiere lectura del directorio y suele ser ruidosa y detectable.
¿Cómo defenderse de BloodHound?
Las defensas contra BloodHound combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para BloodHound?
Nombres alternativos comunes: BloodHound CE, BloodHound Enterprise.
● Términos relacionados
- identity-access№ 013
Active Directory
Servicio de directorio empresarial de Microsoft para redes Windows que ofrece autenticación, autorización y gestión de políticas centralizadas para usuarios, equipos y recursos.
- attacks№ 583
Kerberoasting
Ataque offline de contrasenas que solicita tickets de servicio Kerberos a cuentas de servicio y rompe la parte cifrada para recuperar la contrasena en claro.
- attacks№ 790
Pass-the-Hash
Ataque de reutilizacion de credenciales que autentica en sistemas Windows usando un hash NTLM robado en lugar de la contrasena en claro.
- vulnerabilities№ 860
Escalada de privilegios
Clase de vulnerabilidades que permite al atacante obtener permisos superiores a los concedidos inicialmente, por ejemplo pasar de usuario normal a administrador.
- defense-ops№ 606
Movimiento Lateral
Táctica MITRE ATT&CK (TA0008) que cubre las técnicas con las que el atacante pivota de un host comprometido a otros sistemas del entorno.
- attacks№ 447
Golden Ticket
Ticket TGT de Kerberos falsificado, firmado con el hash de la cuenta krbtgt, que permite al atacante suplantar a cualquier principal del dominio.