¿Estas 8 reglas detectan todo el movimiento lateral posible?

Cubren las tecnicas mas frecuentes documentadas en incidentes reales de 2024-2026 (PsExec, WMI, RDP, SMB, scheduled tasks, WinRM, DCOM, Pass-the-Hash/Ticket). Existen tecnicas adicionales como SSH lateral movement en entornos hibridos o abuse de servicios cloud, pero estas 8 representan el nucleo de deteccion para redes Windows enterprise.

¿Necesito Sysmon para que funcionen estas reglas?

Sysmon es altamente recomendable para las reglas 1 (PsExec), 2 (WMI), 4 (SMB) y 7 (DCOM), ya que proporciona telemetria de procesos y conexiones de red que los logs nativos de Windows no generan. Las reglas 3 (RDP), 5 (scheduled tasks) y 6 (WinRM) funcionan con logs nativos de Windows si se habilitan las politicas de auditoria adecuadas.

¿Como reduzco los falsos positivos en entornos con administracion remota legitima?

Cada regla incluye una seccion de tuning con filtros recomendados. La estrategia general es crear allowlists de cuentas de servicio y estaciones de administracion conocidas, usar el campo filter de Sigma para excluirlas, y correlacionar con horarios laborales. Empieza en modo deteccion (sin bloqueo) durante 2-4 semanas para calibrar los umbrales.

IntermedioSigmalateral movementdetecciónSOCDetection Engineering

Sigma para Lateral Movement: 8 Reglas de Detección de Movimiento Lateral

8 reglas Sigma completas para detectar movimiento lateral en redes Windows: PsExec, WMI, RDP, SMB, scheduled tasks, WinRM, DCOM y Pass-the-Hash/Ticket. Cada regla con YAML, MITRE mapping, falsos positivos y tuning.

MalwareIntel Research·5 de junio de 2026·20 min lectura

Serie: Detection Engineering — Parte 12

Movimiento lateral: la fase que separa el acceso inicial del impacto total

El movimiento lateral es la fase critica en cualquier intrusion avanzada. Una vez que un atacante compromete un endpoint inicial, necesita expandir su acceso a otros sistemas de la red para alcanzar sus objetivos: servidores de Active Directory, bases de datos, controladores de dominio o segmentos criticos. Sin movimiento lateral, un compromiso queda contenido en una sola maquina. Con el, el atacante puede escalar desde un endpoint de usuario hasta el control total del dominio.

En el framework MITRE ATT&CK, el movimiento lateral se documenta bajo la tactica TA0008 (Lateral Movement). Esta tactica agrupa 9 tecnicas principales, cada una con subtecnicas que describen mecanismos especificos como PsExec (T1021.002), WMI (T1047), RDP (T1021.001) o Pass-the-Hash (T1550.002).

Este articulo presenta 8 reglas Sigma que cubren las tecnicas de movimiento lateral mas utilizadas en intrusions reales. Cada regla incluye el YAML completo listo para desplegar, el mapeo MITRE ATT&CK correspondiente, explicacion del mecanismo de deteccion, analisis de falsos positivos y recomendaciones de tuning para entornos de produccion.

El movimiento lateral en la kill chain

INITIAL ACCESS ──► EXECUTION ──► CREDENTIAL ACCESS ──► LATERAL MOVEMENT ──► OBJECTIVE
      │                │                │                      │                │
  Phishing         Malware          LSASS Dump          [8 Reglas]         Domain
  Exploit          Loader           Kerberoast          PsExec/WMI         Admin
  VPN Creds        Macro            DCSync              RDP/SMB            Data
                                    Mimikatz            WinRM/DCOM         Exfil
                                                        PtH/PtT            Ransomware

Las 8 reglas estan organizadas por frecuencia de uso en incidentes documentados. Las tres primeras (PsExec, WMI, RDP) aparecen en mas del 70% de los incidentes de ransomware y APT analizados por DFIR Report y Mandiant durante 2024-2026.

Regla 1: PsExec Service Installation (T1021.002 - SMB/Windows Admin Shares)

Que detecta

PsExec de Sysinternals es una de las herramientas mas utilizadas para ejecucion remota en redes Windows. Funciona instalando un servicio temporal (PSEXESVC) en la maquina destino a traves de SMB, ejecutando el comando solicitado y eliminando el servicio al finalizar. Grupos como LockBit, BlackCat, Conti y FIN7 usan PsExec o variantes renombradas para desplegar ransomware, ejecutar herramientas de reconocimiento o lanzar Cobalt Strike beacons en multiples endpoints simultaneamente.

La deteccion se basa en dos artefactos: la creacion de un servicio con nombre PSEXESVC (o patrones similares) y la creacion del pipe \PSEXESVC en el sistema remoto. Atacantes sofisticados renombran el binario pero el patron de instalacion del servicio permanece detectable.

Regla Sigma

title: PsExec Service Installation - Lateral Movement
id: c4e0a6b8-1d3f-4a5e-9b7c-2e8f0d1a3b5c
status: stable
description: |
    Detecta la instalacion del servicio PSEXESVC o variantes conocidas
    que indican uso de PsExec para ejecucion remota. Incluye deteccion
    de binarios renombrados basada en patrones de nombre de servicio.
references:
    - https://attack.mitre.org/techniques/T1021/002/
    - https://learn.microsoft.com/en-us/sysinternals/downloads/psexec
    - https://thedfirreport.com/
author: MalwareIntel Research
date: 2026/06/05
tags:
    - attack.lateral_movement
    - attack.t1021.002
    - attack.execution
    - attack.t1569.002
logsource:
    category: process_creation
    product: windows
detection:
    selection_service_name:
        ServiceName|contains:
            - 'PSEXESVC'
            - 'psexec'
            - 'csexec'
            - 'paexec'
            - 'remcom'
    selection_pipe_creation:
        PipeName|contains:
            - '\PSEXESVC'
            - '\csexecsvc'
            - '\paexecsvc'
    selection_process:
        Image|endswith:
            - '\PSEXESVC.exe'
            - '\PsExec.exe'
            - '\PsExec64.exe'
        User|contains: 'SYSTEM'
    condition: selection_service_name or selection_pipe_creation or selection_process
falsepositives:
    - Administradores de sistemas usando PsExec para mantenimiento legitimo
    - Herramientas de despliegue de software que usan PsExec internamente
    - Scripts de automatizacion IT aprobados
level: high

Falsos positivos y tuning

PsExec es una herramienta legitima de administracion. En entornos donde se usa habitualmente, la regla generara ruido. Para reducirlo:

Crear un allowlist de cuentas de servicio autorizadas para usar PsExec (User field).
Filtrar por estaciones de administracion conocidas como origen (SourceHostname).
Correlacionar con horarios: ejecuciones de PsExec fuera de horario laboral o desde endpoints de usuario (no admin workstations) son indicadores de alta fidelidad.
Considerar alertar solo cuando el destino es un servidor critico (Domain Controller, file server, base de datos).

Regla 2: WMI Remote Process Creation (T1047 - Windows Management Instrumentation)

Que detecta

Windows Management Instrumentation (WMI) permite la ejecucion remota de procesos a traves de la clase Win32_Process y el metodo Create. Es una tecnica favorita de actores como APT29, APT41, Lazarus y operadores de Cobalt Strike porque no requiere instalar servicios adicionales y deja menos artefactos en disco que PsExec. La ejecucion se realiza a traves de DCOM sobre el puerto 135 y puertos dinamicos.

La deteccion se centra en el proceso wmiprvse.exe (WMI Provider Host) generando procesos hijos sospechosos. En uso legitimo, wmiprvse.exe rara vez lanza procesos como cmd.exe, powershell.exe o binarios no firmados.

Regla Sigma

title: WMI Remote Process Creation - Suspicious Child Process
id: 7f2e8b4a-3c1d-4e6f-a9b5-0d8c2f7a1e3b
status: stable
description: |
    Detecta la creacion de procesos sospechosos como hijos de wmiprvse.exe,
    indicando posible ejecucion remota via WMI. Filtra procesos legitimos
    conocidos del sistema operativo.
references:
    - https://attack.mitre.org/techniques/T1047/
    - https://www.mandiant.com/resources/blog/apt29-wmi-lateral-movement
author: MalwareIntel Research
date: 2026/06/05
tags:
    - attack.lateral_movement
    - attack.execution
    - attack.t1047
logsource:
    category: process_creation
    product: windows
detection:
    selection_parent:
        ParentImage|endswith: '\wmiprvse.exe'
    selection_suspicious_child:
        Image|endswith:
            - '\cmd.exe'
            - '\powershell.exe'
            - '\pwsh.exe'
            - '\mshta.exe'
            - '\rundll32.exe'
            - '\regsvr32.exe'
            - '\cscript.exe'
            - '\wscript.exe'
            - '\certutil.exe'
            - '\bitsadmin.exe'
            - '\net.exe'
            - '\net1.exe'
            - '\nltest.exe'
    filter_legitimate:
        CommandLine|contains:
            - 'Windows\CCM'
            - 'SCCM'
            - 'ConfigMgr'
    condition: selection_parent and selection_suspicious_child and not filter_legitimate
falsepositives:
    - SCCM/MECM ejecutando scripts de mantenimiento via WMI
    - Herramientas de monitorizacion que usan WMI para inventory
    - Scripts de GPO que invocan WMI para configuracion
level: high

Falsos positivos y tuning

SCCM (Microsoft Endpoint Configuration Manager) genera una cantidad significativa de ejecuciones WMI legitimas. El filtro filter_legitimate cubre los patrones mas comunes, pero cada entorno tiene herramientas propias que invocan WMI. Recomendaciones:

Monitorizar durante una semana en modo deteccion para identificar patrones legitimos adicionales.
Anadir filtros para herramientas de gestion aprobadas (BMC, ServiceNow Discovery, Ivanti).
Correlacionar con conexiones de red entrantes al puerto 135/DCOM para identificar el origen remoto.
Las ejecuciones de wmiprvse.exe lanzando PowerShell con argumentos codificados en Base64 son casi siempre maliciosas.

Regla 3: RDP desde Origen Inusual (T1021.001 - Remote Desktop Protocol)

Que detecta

RDP es el metodo de acceso remoto mas comun en entornos Windows y tambien uno de los vectores de movimiento lateral mas explotados. Atacantes que obtienen credenciales validas (via LSASS dump, Kerberoasting o credential stuffing) usan RDP para moverse de forma interactiva entre sistemas. A diferencia de PsExec o WMI, RDP proporciona una sesion grafica completa, lo que permite al atacante operar como un usuario legitimo.

La deteccion no busca RDP en si (demasiado ruidoso) sino conexiones RDP desde origenes que no son estaciones de administracion conocidas, o hacia destinos que normalmente no reciben RDP (servidores de bases de datos, por ejemplo).

Regla Sigma

title: RDP Connection from Unusual Source
id: a1b2c3d4-5e6f-7a8b-9c0d-1e2f3a4b5c6d
status: experimental
description: |
    Detecta conexiones RDP exitosas desde hosts que no pertenecen a la lista
    de estaciones de administracion autorizadas. Requiere personalizacion del
    campo filter_admin_workstations con las IPs/hostnames de cada entorno.
references:
    - https://attack.mitre.org/techniques/T1021/001/
    - https://thedfirreport.com/2024/08/26/rdp-lateral-movement/
author: MalwareIntel Research
date: 2026/06/05
tags:
    - attack.lateral_movement
    - attack.t1021.001
logsource:
    product: windows
    service: security
detection:
    selection_rdp_logon:
        EventID: 4624
        LogonType: 10
    selection_rdp_reconnect:
        EventID: 4624
        LogonType: 7
    filter_admin_workstations:
        IpAddress|cidr:
            - '10.0.50.0/24'
            - '192.168.100.0/24'
        # PERSONALIZAR: reemplazar con subredes de admin reales
    filter_local:
        IpAddress:
            - '127.0.0.1'
            - '::1'
    condition: (selection_rdp_logon or selection_rdp_reconnect) and not filter_admin_workstations and not filter_local
falsepositives:
    - Usuarios remotos con VPN que conectan por RDP desde subredes no catalogadas
    - Estaciones de administracion nuevas no anadidas al filtro
    - Soporte tecnico remoto usando herramientas basadas en RDP
level: medium

Falsos positivos y tuning

Esta regla requiere personalizacion obligatoria. El campo filter_admin_workstations debe contener las subredes o IPs de las estaciones de administracion autorizadas para RDP. Sin esta personalizacion, generara un volumen masivo de alertas.

Mantener actualizada la lista de subredes de administracion autorizadas.
Considerar anadir filtros por cuenta: las cuentas de servicio no deberian generar sesiones RDP interactivas.
Correlacionar con Event ID 4625 (logon fallido tipo 10) para detectar intentos de RDP brute force previos al logon exitoso.
Las conexiones RDP a Domain Controllers desde workstations de usuario son indicadores de alta prioridad.

Regla 4: SMB Lateral Tool Transfer (T1570 - Lateral Tool Transfer)

Que detecta

Antes de ejecutar herramientas en un sistema remoto, los atacantes necesitan transferir los binarios. La forma mas comun en redes Windows es copiar archivos a traves de SMB usando los shares administrativos C$, ADMIN$ o IPC$. Herramientas como Mimikatz, Cobalt Strike beacons, scripts de reconocimiento y payloads de ransomware se transfieren frecuentemente por esta via.

La deteccion se basa en la creacion de archivos ejecutables o scripts en shares administrativos, un comportamiento que en la mayoria de entornos no es parte de las operaciones IT normales.

Regla Sigma

title: Suspicious File Written to Administrative Share via SMB
id: 8d4f2e7b-6a1c-3b5d-9e0f-4c8a7d2b1e6f
status: stable
description: |
    Detecta la escritura de archivos ejecutables, DLLs o scripts en
    shares administrativos (C$, ADMIN$) a traves de SMB, indicando
    posible transferencia de herramientas para movimiento lateral.
references:
    - https://attack.mitre.org/techniques/T1570/
    - https://attack.mitre.org/techniques/T1021/002/
author: MalwareIntel Research
date: 2026/06/05
tags:
    - attack.lateral_movement
    - attack.t1570
    - attack.t1021.002
logsource:
    category: file_event
    product: windows
detection:
    selection_share:
        ShareName|contains:
            - '\C$'
            - '\ADMIN$'
            - '\IPC$'
    selection_suspicious_extension:
        TargetFilename|endswith:
            - '.exe'
            - '.dll'
            - '.bat'
            - '.cmd'
            - '.ps1'
            - '.vbs'
            - '.js'
            - '.hta'
            - '.scr'
            - '.msi'
    filter_windows_update:
        TargetFilename|contains:
            - '\Windows\SoftwareDistribution'
            - '\Windows\ccmcache'
            - '\Windows\Temp\MpSigStub'
    filter_sccm:
        TargetFilename|contains:
            - '\CCM\\'
            - '\ConfigMgr\\'
    condition: selection_share and selection_suspicious_extension and not filter_windows_update and not filter_sccm
falsepositives:
    - Despliegue de software via SCCM/MECM usando shares administrativos
    - Administradores copiando herramientas de diagnostico manualmente
    - Soluciones de backup que escriben agentes en shares remotos
level: high

Falsos positivos y tuning

En entornos con SCCM activo, las transferencias a shares administrativos son frecuentes. Los filtros incluidos cubren los patrones basicos de SCCM y Windows Update.

Anadir filtros para la solucion de despliegue de software de tu organizacion.
Archivos .exe no firmados o con nombres aleatorios (8+ caracteres alfanumericos) escritos en C$\Windows\Temp\ son indicadores de alta confianza.
Correlacionar con la regla 1 (PsExec): la secuencia tipica es transferir el binario via SMB y luego ejecutarlo con PsExec o WMI.
Monitorizar especificamente transferencias a multiples hosts en un intervalo corto (< 5 minutos), patron tipico de despliegue de ransomware.

Regla 5: Remote Scheduled Task Creation (T1053.005 - Scheduled Task)

Que detecta

La creacion remota de tareas programadas permite a los atacantes ejecutar comandos en sistemas remotos a traves del servicio Task Scheduler. Se realiza mediante schtasks.exe /create /s <host_remoto> o a traves de la interfaz RPC del Task Scheduler. Grupos como APT28, APT29 y operadores de Brute Ratel usan esta tecnica porque las tareas programadas persisten tras reinicios y pueden configurarse para ejecutarse bajo cuentas privilegiadas.

Regla Sigma

title: Remote Scheduled Task Creation via schtasks
id: 2f5a9c1b-4d7e-8f3a-6b0c-9e2d1a5f7c4b
status: stable
description: |
    Detecta la creacion de tareas programadas en sistemas remotos usando
    schtasks.exe con el parametro /s para especificar un host remoto.
    Esta tecnica se usa para ejecucion remota y persistencia lateral.
references:
    - https://attack.mitre.org/techniques/T1053/005/
    - https://www.mandiant.com/resources/blog/apt29-scheduled-task
author: MalwareIntel Research
date: 2026/06/05
tags:
    - attack.lateral_movement
    - attack.execution
    - attack.persistence
    - attack.t1053.005
logsource:
    category: process_creation
    product: windows
detection:
    selection_schtasks:
        Image|endswith: '\schtasks.exe'
        CommandLine|contains|all:
            - '/create'
            - '/s '
    selection_suspicious_action:
        CommandLine|contains:
            - 'cmd.exe'
            - 'powershell'
            - 'pwsh'
            - 'mshta'
            - 'rundll32'
            - 'regsvr32'
            - 'certutil'
            - '.bat'
            - '.ps1'
            - '.vbs'
            - 'C:\Windows\Temp'
            - 'C:\ProgramData'
    condition: selection_schtasks and selection_suspicious_action
falsepositives:
    - Administradores creando tareas programadas en servidores remotos para mantenimiento
    - Herramientas de orquestacion (Ansible, Puppet) que crean tareas remotas
    - Scripts de remediacion de SCCM
level: high

Falsos positivos y tuning

La creacion remota de tareas programadas es menos comun que el uso local de schtasks.exe. La presencia del parametro /s (host remoto) combinada con acciones sospechosas genera pocas alertas falsas.

Las tareas programadas que ejecutan scripts desde C:\Windows\Temp o C:\ProgramData son indicadores de alta confianza.
Correlacionar con la regla 4 (SMB transfer): los atacantes suelen transferir el script primero y luego crear la tarea programada para ejecutarlo.
Anadir filtros para cuentas de automatizacion aprobadas que crean tareas en servidores de forma rutinaria.
Monitorizar el Event ID 4698 (Task Scheduler: nueva tarea creada) como fuente complementaria.

Regla 6: WinRM Remote Execution (T1021.006 - Windows Remote Management)

Que detecta

Windows Remote Management (WinRM) es la implementacion de Microsoft del protocolo WS-Management. Permite la ejecucion remota de comandos a traves de PowerShell Remoting (Enter-PSSession, Invoke-Command). Desde la perspectiva de deteccion, WinRM es particularmente dificil de detectar porque usa protocolos legitimos (HTTP/HTTPS en puertos 5985/5986) y genera poca telemetria si no se habilitan logs especificos.

Actores como APT29 (Cozy Bear), APT41 y operadores de Sliver C2 prefieren WinRM sobre PsExec porque produce menos artefactos en disco y se integra con la infraestructura legitima de gestion Windows.

Regla Sigma

title: WinRM Remote Command Execution via PowerShell
id: 3e6b7d9a-1c4f-5a8e-2d0b-7f9c4a3e6b1d
status: experimental
description: |
    Detecta ejecucion remota via WinRM/PowerShell Remoting identificando
    procesos wsmprovhost.exe (WinRM host process) generando procesos
    sospechosos, y uso de Invoke-Command o Enter-PSSession en la linea
    de comandos.
references:
    - https://attack.mitre.org/techniques/T1021/006/
    - https://www.mandiant.com/resources/blog/apt29-winrm
author: MalwareIntel Research
date: 2026/06/05
tags:
    - attack.lateral_movement
    - attack.t1021.006
    - attack.execution
logsource:
    category: process_creation
    product: windows
detection:
    selection_wsmprovhost:
        ParentImage|endswith: '\wsmprovhost.exe'
        Image|endswith:
            - '\cmd.exe'
            - '\powershell.exe'
            - '\pwsh.exe'
            - '\cscript.exe'
            - '\wscript.exe'
            - '\net.exe'
            - '\whoami.exe'
            - '\ipconfig.exe'
            - '\systeminfo.exe'
    selection_invoke_command:
        CommandLine|contains:
            - 'Invoke-Command'
            - 'Enter-PSSession'
            - 'New-PSSession'
        CommandLine|contains:
            - '-ComputerName'
            - '-cn '
            - '-Session'
    selection_winrm_port:
        DestinationPort:
            - 5985
            - 5986
    condition: selection_wsmprovhost or selection_invoke_command or selection_winrm_port
falsepositives:
    - Administradores usando PowerShell Remoting para gestion de servidores
    - Ansible o herramientas de automatizacion basadas en WinRM
    - DSC (Desired State Configuration) pull server
level: medium

Falsos positivos y tuning

WinRM es una herramienta de administracion legitima ampliamente utilizada. El volumen de falsos positivos depende de la madurez del entorno.

En entornos con PowerShell Remoting habilitado para administracion, filtrar las cuentas de servicio autorizadas.
wsmprovhost.exe generando procesos de reconocimiento (whoami.exe, net.exe, systeminfo.exe, nltest.exe) es un patron de alta fidelidad para deteccion de post-compromiso.
Habilitar PowerShell ScriptBlock Logging (Event ID 4104) para obtener el contenido completo de los scripts ejecutados via WinRM.
Correlacionar conexiones a puertos 5985/5986 desde endpoints de usuario (no servidores de administracion) como indicador de movimiento lateral.

Regla 7: DCOM Lateral Movement (T1021.003 - Distributed Component Object Model)

Que detecta

DCOM (Distributed Component Object Model) permite la interaccion con objetos COM en sistemas remotos. Los atacantes abusan de objetos DCOM especificos para ejecutar comandos sin necesidad de instalar servicios o transferir binarios. Los objetos mas explotados son MMC20.Application (metodo ExecuteShellCommand), ShellWindows, ShellBrowserWindow y Excel.Application (metodo DDEInitiate).

Esta tecnica es menos conocida que PsExec o WMI, pero actores sofisticados como APT29, FIN7 y operadores de Cobalt Strike la utilizan precisamente porque genera menos alertas en SIEMs configurados con reglas genericas.

Regla Sigma

title: DCOM Lateral Movement via MMC20 or ShellWindows
id: 5a7c9e2b-3f1d-4b8a-6e0c-8d2f1a5b7c9e
status: experimental
description: |
    Detecta indicadores de movimiento lateral via DCOM, incluyendo
    procesos hijos de mmc.exe lanzados remotamente y activacion de
    objetos DCOM conocidos por ser abusados para ejecucion remota.
references:
    - https://attack.mitre.org/techniques/T1021/003/
    - https://enigma0x3.net/2017/01/05/lateral-movement-using-the-mmc20-application-com-object/
    - https://enigma0x3.net/2017/01/23/lateral-movement-via-dcom-round-2/
author: MalwareIntel Research
date: 2026/06/05
tags:
    - attack.lateral_movement
    - attack.t1021.003
    - attack.execution
logsource:
    category: process_creation
    product: windows
detection:
    selection_mmc_child:
        ParentImage|endswith: '\mmc.exe'
        Image|endswith:
            - '\cmd.exe'
            - '\powershell.exe'
            - '\pwsh.exe'
            - '\mshta.exe'
            - '\rundll32.exe'
    selection_dcom_clsid:
        CommandLine|contains:
            - '{9BA05972-F6A8-11CF-A442-00A0C90A8F39}'
            - 'MMC20.Application'
            - 'ShellWindows'
            - 'ShellBrowserWindow'
            - '{C08AFD90-F2A1-11D1-8455-00A0C91F3880}'
            - '{9BA05972'
    selection_excel_dde:
        ParentImage|endswith: '\excel.exe'
        Image|endswith:
            - '\cmd.exe'
            - '\powershell.exe'
        CommandLine|contains:
            - 'DDEInitiate'
    selection_dcom_network:
        Image|endswith: '\svchost.exe'
        CommandLine|contains: 'DcomLaunch'
        SourcePort|gt: 49151
    condition: selection_mmc_child or selection_dcom_clsid or selection_excel_dde or selection_dcom_network
falsepositives:
    - Uso legitimo de MMC para administracion remota de servidores
    - Aplicaciones empresariales que usan DCOM para comunicacion entre componentes
    - Macros de Excel que invocan DDEInitiate para integraciones de datos
level: high

Falsos positivos y tuning

DCOM lateral movement genera pocos falsos positivos porque el uso legitimo de estos objetos DCOM especificos es poco frecuente en la mayoria de entornos.

mmc.exe generando cmd.exe o powershell.exe en un servidor donde MMC no se usa de forma interactiva es un indicador de alta confianza.
Habilitar el Event ID 4688 (Process Creation) con command line auditing para capturar los CLSID de los objetos DCOM invocados.
Los objetos ShellWindows y ShellBrowserWindow tienen uso legitimo extremadamente limitado. Cualquier activacion remota es sospechosa.
Correlacionar con conexiones DCOM entrantes (puerto 135 + puertos dinamicos) para identificar el host de origen.

Regla 8: Pass-the-Hash y Pass-the-Ticket (T1550.002 / T1550.003)

Que detecta

Pass-the-Hash (PtH) y Pass-the-Ticket (PtT) son tecnicas que permiten autenticarse en sistemas remotos usando hashes NTLM robados o tickets Kerberos extraidos de memoria, sin conocer la contrasena en texto plano. Mimikatz, Rubeus e Impacket son las herramientas mas comunes para estas tecnicas. PtH explota NTLM (T1550.002) mientras que PtT abusa de Kerberos (T1550.003), y ambas son fundamentales en la cadena de ataque de casi todos los operadores de ransomware y grupos APT.

La deteccion se basa en anomalias en los eventos de autenticacion: logons NTLM tipo 9 (NewCredentials) con SecLogon, tickets Kerberos con anomalias de cifrado, y patrones de uso de herramientas conocidas.

Regla Sigma

title: Pass-the-Hash and Pass-the-Ticket Activity Detection
id: 9c1e3b5d-7a2f-4d6e-8b0c-3f5a9d1c7e2b
status: stable
description: |
    Detecta indicadores de Pass-the-Hash (NTLM relay con logon tipo 9)
    y Pass-the-Ticket (anomalias en tickets Kerberos) que sugieren uso
    de credenciales robadas para movimiento lateral.
references:
    - https://attack.mitre.org/techniques/T1550/002/
    - https://attack.mitre.org/techniques/T1550/003/
    - https://www.ired.team/offensive-security/lateral-movement/t1075-pass-the-hash
author: MalwareIntel Research
date: 2026/06/05
tags:
    - attack.lateral_movement
    - attack.credential_access
    - attack.t1550.002
    - attack.t1550.003
logsource:
    product: windows
    service: security
detection:
    selection_pth_logon:
        EventID: 4624
        LogonType: 9
        LogonProcessName: 'seclogo'
        AuthenticationPackageName: 'Negotiate'
    selection_pth_ntlm:
        EventID: 4624
        LogonType: 3
        AuthenticationPackageName: 'NTLM'
        LmPackageName: 'NTLM V2'
        KeyLength: 0
    selection_overpass_the_hash:
        EventID: 4768
        TicketEncryptionType:
            - '0x17'
            - '0x18'
        TicketOptions: '0x40810010'
    selection_golden_ticket:
        EventID: 4769
        TicketEncryptionType: '0x17'
        ServiceName|endswith: '$'
    selection_ptt_tools:
        CommandLine|contains:
            - 'sekurlsa::pth'
            - 'kerberos::ptt'
            - 'kerberos::golden'
            - 'Invoke-Mimikatz'
            - 'Rubeus.exe'
            - 'pth-winexe'
            - 'getTGT.py'
            - 'getST.py'
            - 'secretsdump'
    filter_machine_accounts:
        TargetUserName|endswith: '$'
        IpAddress: '127.0.0.1'
    condition: (selection_pth_logon or selection_pth_ntlm or selection_overpass_the_hash or selection_golden_ticket or selection_ptt_tools) and not filter_machine_accounts
falsepositives:
    - Aplicaciones que usan NTLM con LogonType 9 para autenticacion delegada
    - Servicios con Kerberos constrained delegation configurado
    - Herramientas de pentest autorizadas (Red Team) usando Mimikatz/Rubeus
level: critical

Falsos positivos y tuning

Pass-the-Hash y Pass-the-Ticket son tecnicas ofensivas con pocos usos legitimos. La seleccion selection_ptt_tools (basada en command line) tiene tasa de falsos positivos casi nula, mientras que las selecciones basadas en eventos de autenticacion requieren mas calibracion.

LogonType 9 con seclogo es el patron clasico de PtH via runas /netonly. Es raro en uso legitimo pero puede ocurrir con aplicaciones que usan credenciales alternativas.
KeyLength: 0 en logon NTLM tipo 3 es un indicador fuerte de PtH, pero puede generar falsos positivos con servicios legacy que no negocian session keys.
Overpass-the-Hash (4768 con encryption type RC4 0x17) genera falsos positivos en entornos con sistemas legacy que no soportan AES. Validar que la politica de cifrado Kerberos del dominio incluya AES antes de activar esta deteccion.
Correlacionar con alertas de LSASS access (Sysmon Event ID 10 con TargetImage lsass.exe): la extraccion de credenciales precede al PtH/PtT.

Resumen de cobertura MITRE ATT&CK

Las 8 reglas cubren las siguientes tecnicas de la tactica Lateral Movement (TA0008):

Regla	Tecnica	Sub-tecnica	ID MITRE	Nivel	Telemetria requerida
1	Remote Services	SMB/Windows Admin Shares	T1021.002	High	Sysmon (Process Creation, Pipe Created)
2	Windows Management Instrumentation	-	T1047	High	Sysmon (Process Creation)
3	Remote Services	Remote Desktop Protocol	T1021.001	Medium	Windows Security Log (4624)
4	Lateral Tool Transfer	-	T1570	High	Sysmon (File Creation on Share)
5	Scheduled Task/Job	Scheduled Task	T1053.005	High	Sysmon (Process Creation)
6	Remote Services	Windows Remote Management	T1021.006	Medium	Sysmon + PowerShell Logging
7	Remote Services	Distributed COM	T1021.003	High	Sysmon (Process Creation)
8	Use Alternate Auth Material	PtH / PtT	T1550.002/003	Critical	Windows Security Log (4624, 4768, 4769)

Tecnicas no cubiertas

Estas reglas no cubren las siguientes tecnicas de movimiento lateral, que requieren fuentes de telemetria adicionales o son menos frecuentes en incidentes documentados:

T1021.004 (SSH): Relevante en entornos hibridos Linux/Windows. Requiere logs de OpenSSH for Windows.
T1021.005 (VNC): Poco comun en ataques dirigidos. Detectable por conexiones a puertos 5900-5999.
T1534 (Internal Spearphishing): Requiere integracion con logs de correo electronico.
T1080 (Taint Shared Content): Detectable con monitoreo de integridad de archivos en shares.

Requisitos de telemetria

Para que las 8 reglas funcionen correctamente, el entorno necesita las siguientes fuentes de logs:

Sysmon (recomendado con configuracion SwiftOnSecurity o Olaf Hartong):

Event ID 1: Process Creation (con command line logging).
Event ID 3: Network Connection (para correlacion de puertos DCOM/WinRM).
Event ID 11: File Creation (para deteccion de transferencias SMB).
Event ID 17/18: Pipe Created/Connected (para PsExec).

Windows Security Log (politicas de auditoria):

Audit Logon Events (Success): Event ID 4624 (logon exitoso con tipo).
Audit Kerberos Authentication: Event ID 4768, 4769 (tickets TGT/TGS).
Audit Process Creation: Event ID 4688 (con command line auditing habilitado).
Audit Other Object Access: Event ID 4698 (scheduled task creation).

PowerShell Logging:

ScriptBlock Logging (Event ID 4104): Contenido de scripts ejecutados.
Module Logging: Llamadas a modulos de PowerShell.

Orden de despliegue recomendado

Si empiezas desde cero, despliega las reglas en este orden basado en la relacion impacto/falsos positivos:

Regla 8 (PtH/PtT): Nivel critical, falsos positivos bajos. Detecta la tecnica mas peligrosa.
Regla 1 (PsExec): Nivel high, facil de tunar con allowlists de cuentas admin.
Regla 2 (WMI): Nivel high, requiere filtros para SCCM pero alta fidelidad.
Regla 5 (Scheduled Tasks): Nivel high, pocos falsos positivos con el filtro de acciones sospechosas.
Regla 7 (DCOM): Nivel high, muy pocos falsos positivos por el bajo uso legitimo.
Regla 4 (SMB Transfer): Nivel high, complementa las reglas de ejecucion remota.
Regla 3 (RDP): Nivel medium, requiere personalizacion de subredes admin.
Regla 6 (WinRM): Nivel medium, alto ruido en entornos con PowerShell Remoting.

Para cada regla, el proceso recomendado es: desplegar en modo deteccion (sin alerta critica) durante 2 semanas, analizar los eventos generados, ajustar los filtros de falsos positivos y despues elevar la severidad al nivel indicado.

Recursos y referencias

MITRE ATT&CK Lateral Movement (TA0008) - Documentacion oficial de la tactica con todas las tecnicas y subtecnicas.
SigmaHQ Rules Repository - Coleccion oficial de reglas Sigma con contribuciones de la comunidad.
The DFIR Report - Analisis detallados de intrusions reales con TTPs documentados paso a paso.
Mandiant Threat Intelligence - Reports de grupos APT y tecnicas de movimiento lateral.
SwiftOnSecurity Sysmon Config - Configuracion base de Sysmon para deteccion de amenazas.
Sigma CLI Documentation - Herramienta para convertir reglas Sigma a consultas de SIEM (Splunk, Elastic, Sentinel).
Red Canary Threat Detection Report - Estadisticas anuales de tecnicas ATT&CK mas observadas en entornos reales.
SANS Hunt Evil Poster - Referencia rapida de procesos legitimos vs sospechosos en Windows.

Movimiento lateral: la fase que separa el acceso inicial del impacto total

El movimiento lateral en la kill chain

Regla 1: PsExec Service Installation (T1021.002 - SMB/Windows Admin Shares)

Que detecta

Regla Sigma

Falsos positivos y tuning

Regla 2: WMI Remote Process Creation (T1047 - Windows Management Instrumentation)

Que detecta

Regla Sigma

Falsos positivos y tuning

Regla 3: RDP desde Origen Inusual (T1021.001 - Remote Desktop Protocol)

Que detecta

Regla Sigma

Falsos positivos y tuning

Regla 4: SMB Lateral Tool Transfer (T1570 - Lateral Tool Transfer)

Que detecta

Regla Sigma

Falsos positivos y tuning

Regla 5: Remote Scheduled Task Creation (T1053.005 - Scheduled Task)

Que detecta

Regla Sigma

Falsos positivos y tuning

Regla 6: WinRM Remote Execution (T1021.006 - Windows Remote Management)

Que detecta

Regla Sigma

Falsos positivos y tuning

Regla 7: DCOM Lateral Movement (T1021.003 - Distributed Component Object Model)

Que detecta

Regla Sigma

Falsos positivos y tuning

Regla 8: Pass-the-Hash y Pass-the-Ticket (T1550.002 / T1550.003)

Que detecta

Regla Sigma

Falsos positivos y tuning

Resumen de cobertura MITRE ATT&CK

Tecnicas no cubiertas

Requisitos de telemetria

Orden de despliegue recomendado

Recursos y referencias

Preguntas frecuentes

Artículos relacionados