Detectando un ataque de fuerza bruta El ataque de fuerza bruta es un vector común que los actores de amenazas utilizan para obtener acceso no autorizado a endpoints y servicios. Servicios como SSH en endpoints Linux y RDP en endpoints Windows suelen ser propensos a ataques de fuerza bruta. Wazuh identifica los ataques de fuerza bruta correlacionando múltiples eventos de fallas de autenticación. ## Infraestructura - **Endpoints** - **Descripción:** - **Kali GNU/Linux Rolling x86_64:** Atacante que realiza ataques de fuerza bruta. - **Firewall Ubuntu 22.04:** Víctima de ataques de fuerza bruta SSH. - **WebServer Ubuntu 22.04:** Víctima de ataques de fuerza bruta SSH. - **Windows 10:** Víctima de ataques de fuerza bruta RDP. ### Emulación del ataque 1. Se crea un archivo de texto con 8 contraseñas (passwords-list.txt). 2. 2. Se crea un archivo de texto con 4 nombres de usuarios (usernames.txt). -  3. Se ejecuta Hydra desde del atacante para realizar ataques de fuerza bruta contra el endpoint Firewall (Ubuntu 22.04). Para hacer esto se ejecuta el siguiente comando: ``` hydra -L usernames.txt -P passwords-list.txt -t 4 ssh://192.168.57.4 -V ``` -  4. Se ejecuta Hydra desde el atacante para realizar ataques de fuerza bruta contra el endpoint Web Server (Ubuntu 22.04). Para hacer esto se ejecuta el siguiente comando: ``` hydra -L usernames.txt -P passwords-list.txt -t 4 ssh://192.168.56.4 -V ```  5. Se ejecuta Hydra desde el atacante para realizar ataques de fuerza bruta contra el endpoint Windows. Para hacer esto se ejecuta el siguiente comando: ``` hydra -L usernames.txt -P passwords-list.txt -t 4 rdp://192.168.57.3 -V ```  ## Visualización de alertas Se puede visualizar los datos de alerta en el panel de control de Wazuh. Para hacer esto, se verifica el módulo de eventos de seguridad en el agente correspondiente. #### Firewall (Ubuntu 22.04)  *---*  *---*  *---*  #### WebServer (Ubuntu 22.04)  *---*  *---*  *---*  #### Windows Endpoint (Windows 10)  *---*  *---*     *---*