Debemos identificar los controles o defensas antes de realizar otras acciones para evitar la detección y/o pérdida de sesión.

Los diversos controles para buscar son:

• Detección y protección de endpoints.

• Antivirus/Malware.

• Controles en entornos de scripting (WSH, PowerShell).

• Controles de ejecución:

• Control de aplicaciones AppLocker/Windows Defender.Auditoría:

    Control de aplicaciones AppLocker/Windows Defender.
  

    Auditoría:
  

  • Auditoría de procesos.Colección de eventos/SIEM.

      Auditoría de procesos.
    

      Colección de eventos/SIEM.
    

  • Auditoría de procesos.

  • Colección de eventos/SIEM.

Necesitamos identificar los controles aprovechando las API inicialmente nativas cuando sea posible, es decir, si podemos utilizar las propias herramientas del sistema, será más difícil que nos detecten.

La mayoría de payloads admiten:

• Listado de procesos: cualquier nombre de proceso que coincida software o herramientas de control de seguridad que supongan un riesgo.
• Listado de archivos.

En los sistemas Windows, buscaremos controladores conocidos de proveedores y aplicaciones de seguridad en archivos de programa.

En sistemas operativos Linux/Mac, comprobaremos la presencia y el tamaño de los archivos de registro para revisión de cuentas.

Podemos listar servicios en Windows si la API Registry o ServiceControl está usada.

Una vez que se identifica un control, deberíamos ver si podemos modificar la configuración de los sistemas defensivos:

• Firewall. Puertos abiertos, ejecutables permitidos.
• Antivirus. Exclusiones, servidor de administración y adicionales características.
• Controles de ejecución que son realmente bloques y excepciones.

Por ejemplo, podemos identificar controles a través de metasploit utilizando el post:

	post/windows/gather/enum_applications