Saltar al contenido principal

BloodHound

Mapas de relaciones del Directorio Activo.

Categoría: Post-explotación 🎯 Trinchera — Mapas de relaciones del Directorio Activo. Le metes datos enumerados (SharpHound) y te pinta el grafo de “quién puede llegar a Domain Admin desde aquí”. 🔗 Kill chain — Requisito: usuario autenticado. Salida: rutas visualizadas (Shortest Path to DA from Owned). Acelera 10× la escalada AD. 📡 Huella defensiva — Las queries LDAP de SharpHound son muy ruidosas: miles de queries en segundos. Microsoft Defender for Identity (Azure ATP) tiene detección específica Reconnaissance using Active Directory queries (SharpHound). ⚠️ Falso amigo — Lanzar SharpHound con todos los métodos (-c All). Genera tráfico LDAP comparable a un escaneo Nmap. Mejor ir por iteraciones (-c Group, luego -c LocalAdmin…). 🛡️ Remediación — Detectar volumen de queries LDAP por usuario. Honeypot accounts (cuentas señuelo en grupos privilegiados que disparan alertas si se consultan).
Volver al glosario completo Última actualización: 2026-06-11