Realizar un ataque desde el interior, puede ser realizado utilizando herramientas y técnicas familiares, los cuales son abarcadas ampliamente en el ámbito del Hacking Ético. La principal diferencia es se está trabajando dentro de la compañía objetivo, a un nivel privilegiado previamente establecido de un empleado, completamente con su cuenta de red. En muchos casos, se puede establecer un lugar privado desde el cual trabajar, al menos inicialmente, pero en algunos casos se necesitará trabajar a la intemperie, en presencia de otros empleados. Ambos escenarios tienen sus ventajas, por ejemplo, mientras trabajar en privado permite trabajar sin distracciones, trabajar con otros empleados permite ponerse al día más rápidamente con los procedimientos de seguridad.

No importa donde se trabaje, es un hecho estar en la capacidad de explicar su presencia, pues cualquier recién llegado será cuestionado por compañeros de trabajo curiosos. Estos encuentros son menos estresantes a los encuentros durante ingeniería social o intrusiones físicas, porque se está trabajando legítimamente para alguien en la empresa objetivo, y se tiene una historia fácil. En muchos casos una simple explicación de “consulta” será suficiente. En todos los casos, mientras menos personas en la empresa objetivo sean conscientes de sus actividades, más realista será la prueba. Si el equipo de mesa de ayuda o administradores de sistemas son conscientes de se es un “sombrero grís” haciéndose pasar por un empleado con la intención de subvertir los controles de seguridad, estarán tentados a vigilarlo muy de cerca sobre las acciones realizadas, o en algunos casos darle un equipo especialmente preparado para trabajar desde este.

Herramientas y Preparación

Cada prueba será ligeramente diferente dependiendo del entorno en el cual se esté trabajando. Lo mejor es trabajar desde equipo suministrado por la organización objetivo, y empezar con muy poco conocimiento sobre los controles de seguridad implementados. Se debe llegar preparado con todo lo necesario para realizar el ataque, pues podría no tenerse la oportunidad de descargar algo desde el exterior una vez dentro. Muchas empresas utilizan filtros para contenido. Un buen sistema para la vigilancia de la red, o el operador de un sistema para la detección de intrusión (IDS) podría notar archivos binarios proviniendo desde sitios web de Hacking, o incluso desde direcciones IP no familiares. Se debe tener todas las herramientas necesarias en medios extraibles, como una unidad USB, CD o DVD,

Dado el hecho se puede encontrar equipo proporcionado total o parcialmente bloqueado, reforzado, o controlado centralizadamente, se debe también tener un medio iniciable disponible para ayudar a acceder ya sea hacia un sistema individual y a la red, con un nivel privilegiado mayor al otorgado con la cuenta. En los casos más difíciles, como un bloqueo completo CMOS, y encriptado completo del disco, se puede requerir llevar un disco duro con un sistema operativo preparado, para intentar ganar acceso hacia la red objetivo desde el equipo proporcionado.

Orientación

La configuración más común a encontrar es una estación de trabajo con Windows, una PC autónoma o laptop ejecutando una versión de Microsoft Windows. Lo más probable es se esté conectado hacia una LAN cableada, y utilice un dominio para login. También se proporcionará una cuenta de dominio. Entonces a loguearse y mirar alrededor. Invertir algunos momentos para “navegar” la red utilizado el explorador de archivos de Windows. Se podrían ver varios dominios Windows, como también unidades mapeadas a servidores de archivos, algunos de los cuales podrían estar ya conectados. El objetivo principal de un ataque interno es encontrar información sensible, por lo cual se deben mantener los ojos bien abiertos para servidores con nombres descriptivos como “RH” o “Ingeniería”. Una vez se sienta confortable con los límites de la cuenta, y se tenga una visión general de la red, es momento de empezar a elevar privilegios.

Fuentes:

https://www.csoonline.com/article/3263799/security/insider-threat-exampl...
https://haystax.com/blog/whitepapers/insider-attacks-industry-survey/