Kestrel: el riesgo de un reconocimiento pasivo en Active Directory
Publicado el
Kestrel: una nueva herramienta para Active Directory
El reconocimiento de Active Directory (AD) es una fase crítica en las pruebas de penetración y en las operaciones de Red Team. Sin embargo, la mayoría de las herramientas disponibles, como SharpHound o PowerView, generan una gran cantidad de telemetría que puede ser detectada por sistemas de detección de amenazas (EDR). Esto hace que las actividades de reconocimiento sean más visibles y, por tanto, más fáciles de interceptar.
Kestrel se presenta como una solución interesante en este contexto. Se trata de un proyecto open source desarrollado completamente en C nativo, cuyo propósito no es descubrir nuevas técnicas de enumeración, sino ejecutar las ya conocidas utilizando únicamente componentes nativos de Windows. Esto permite que Kestrel minimice su footprint operativo, una característica fundamental en el actual panorama ofensivo.
La principal ventaja de Kestrel es su capacidad para interactuar con Active Directory Services Interfaces (ADSI) a través de COM, eliminando la dependencia de tecnologías como .NET y PowerShell. Este enfoque permite que Kestrel realice consultas LDAP de una manera que se asemeja más a las aplicaciones empresariales legítimas que a las herramientas ofensivas convencionales.
Desde un punto de vista técnico, este diseño tiene importantes implicaciones para la detección. Por ejemplo, la eliminación de la carga del Common Language Runtime (CLR) reduce las fuentes habituales de instrumentación que los EDR utilizan para identificar actividad sospechosa. Además, Kestrel no ejecuta PowerShell ni utiliza AMSI, lo que disminuye aún más las posibilidades de ser detectado.
A pesar de estas ventajas, es importante destacar que Kestrel no es completamente indetectable. Las consultas LDAP generadas por el proceso son observables, y cualquier entorno adecuadamente instrumentado puede detectar comportamientos anómalos a través de la correlación de eventos o el análisis de frecuencia de consultas. Por lo tanto, aunque Kestrel minimiza la telemetría asociada a la ejecución de comandos, no elimina por completo la posibilidad de detección.
Kestrel refleja una tendencia creciente en el desarrollo de capacidades ofensivas que busca aprovechar las APIs nativas del sistema operativo para reducir la visibilidad de las actividades. Esto plantea un desafío importante para los equipos de Red Team, Purple Team y Detection Engineering. La pregunta fundamental que surge es si se está detectando herramientas específicas o si realmente se están identificando comportamientos anómalos.
Para los profesionales de la ciberseguridad, la aparición de Kestrel subraya la necesidad de revisar y actualizar los métodos de detección actuales. A medida que los atacantes se vuelven más sofisticados y adoptan técnicas que minimizan la telemetría, también debe evolucionar la forma en que se monitorizan y detectan las amenazas en los entornos de Active Directory.
Para más información sobre este proyecto, se puede consultar el repositorio de Kestrel en GitHub.