TaskHound,
una nueva herramienta de seguridad de código abierto que ayuda a profesionales
de seguridad a identificar tareas programadas de Windows de alto riesgo que
podrían exponer los sistemas a ataques.
La herramienta descubre automáticamente las tareas que se ejecutan con
cuentas privilegiadas y credenciales almacenadas, lo que la convierte en un valioso complemento para las evaluaciones de
seguridad.
TaskHound destaca por automatizar la detección de tareas programadas
peligrosas en redes Windows. En lugar de buscar manualmente en los registros
del sistema, la herramienta escanea máquinas remotas a través de SMB y analiza
los archivos XML de las tareas para identificar vulnerabilidades de seguridad.
Busca tareas que se ejecuten con cuentas administrativas, usuarios con
privilegios o cuentas de Nivel 0, que suelen ser los objetivos de mayor valor
para los atacantes. TaskHound incluye varias funciones potentes para la
búsqueda de amenazas. Detecta automáticamente las tareas asignadas a usuarios
de Nivel 0, como administradores de dominio y administradores empresariales.
La herramienta analiza cuándo se modificaron las credenciales por última vez
en comparación con la fecha de creación de las tareas, lo que ayuda a
identificar contraseñas antiguas que podrían ser vulnerables a ataques sin
conexión.
TaskHound también puede funcionar sin conexión, analizando archivos XML
recopilados previamente sin necesidad de acceso directo a la red.
Para los operadores que utilizan
AdaptixC2, la herramienta incluye una implementación de archivo de objeto Beacon.
Durante una prueba de penetración, TaskHound identifica rápidamente
oportunidades de explotación. Las tareas que se ejecutan en cuentas
comprometidas pueden ser manipuladas para obtener acceso al sistema.
La herramienta proporciona informes detallados que muestran la ubicación de
las tareas, las credenciales asociadas, las fechas de creación y los pasos a
seguir recomendados para cada hallazgo.
La herramienta se integra con BloodHound, una popular plataforma de visualización de seguridad de red. La plataforma
es compatible tanto con la versión moderna de BloodHound Community Edition
como con las versiones anteriores, lo que la hace compatible con la
infraestructura de seguridad existente. Esta integración permite a los equipos
de seguridad correlacionar automáticamente las tareas programadas con los
datos de la ruta de ataque de BloodHound, revelando qué tareas representan el
mayor riesgo en su entorno.
La hoja de
ruta del proyecto
incluye un conector directo a la base de datos de BloodHound y un módulo
NetExec específico para ampliar la integración con otros marcos de seguridad
populares.
El desarrollador de GitHub también planea la extracción automatizada de
credenciales para el descifrado sin conexión.