Ko me stranke sprasujejo, katere napade bom uporabil proti njihovemu Active Directory, pogosto pricakujejo neko kompleksno izkoriščanje zero-day. Resnicnost je veliko preprostejsa - in to je tisto, kar jo dela strasljivo.
Kerberoasting
To je moj kruh in maslo. Vsak overjen uporabnik lahko zahteva servisne vstopnice za racune s SPN-ji. Te vstopnice so sifrirane z zgošceno vrednostjo gesla servisnega racuna. Vzamem jih izven povezave in jih razbijem.
Zakaj tako dobro deluje:
- Ni potrebnih posebnih privilegijev
- Brez alarmov v vecini okolij
- Servisni racuni pogosto imajo sibka gesla
- Servisni racuni pogosto imajo pretirene privilegije
Popravek: Uporabljajte gMSA. Njihova gesla so 240 nakljucnih znakov in se samodejno rotirajo.
NTLM Relay
Windows obozuje NTLM. Ko SMB podpisovanje ni uveljavljeno, lahko prestrezemz NTLM overitev in jo preusmerim na druge storitve. Ni mi treba nicesar razbijati - samo posredujem overitev.
Z orodji kot PetitPotam lahko prisilim naprave, da se overijo pri meni. Nato te poverilnice preusmerim na LDAP in si dam kakrsnakoli dovoljenja hocem v Active Directory.
Popravek: Omogocite SMB podpisovanje. Omogocite LDAP podpisovanje. Omogocite EPA. To bi moralo biti privzeto, ampak ni.
Pass-the-Hash
Ko kompromitiram napravo, izvlecem lokalno bazo SAM in vse predpomnjene poverilnice. Ce se je administrator nedavno prijavil, je njegova NTLM zgošcena vrednost v pomnilniku. To zgošceno vrednost uporabim neposredno za overitev drugje - brez potrebe po razbijanju gesel.
Popravek: Credential Guard, LAPS, skupina Protected Users, in prenehajte se prijavljati na delovne postaje z racuni Domain Admin.
DCSync
Ko imam prave privilegije (obicajno Domain Admin, ampak vcasih manj), lahko repliciram podatke o geslih iz krmilnika domene. To mi da vsako zgošceno vrednost gesla v domeni.
To uporablja normalne protokole replikacije AD, zato je tezko lociti od legitimnega prometa, razen ce specificno spremljate za to.
Popravek: Revidirajte, kdo ima pravice replikacije. Spremljajte dogodek 4662 za zahteve replikacije iz ne-DC virov.
Zloraba ACL
Dovoljenja Active Directory so kompleksna. BloodHound mi pomaga najti poti, ki jih rocno nikoli ne bi odkril. Pogoste:
- GenericAll na uporabniku = lahko ponastavim njegovo geslo
- GenericWrite na racunalniku = lahko konfiguriram delegacijo omejeno na osnovi virov
- WriteDacl na skupini = lahko se dodam kot clan
Ta dovoljenja pogosto obstajajo, ker je nekdo potreboval zacasen dostop pred leti.
Popravek: Redne revizije ACL z BloodHound. Pocistite nepotrebna dovoljenja.
Vzorec
Opazite, da noben od teh napadov ne zahteva izkoriščanja programskih ranljivosti. Vsi zlorabljajo legitimne funkcije, ki so napacno konfigurirane. Zato jih EDR ne ujame - ne poganjam zlonamerne programske opreme, uporabljam administrativna orodja na nacin, kot naj bi delovala.
Varnost ne gre za kupovanje vec izdelkov. Gre za pravilno konfiguracijo tistega, kar imate. Zacnite z osnovami in vecina mojega dela postane veliko tezja.
Zanima vas vec o tej temi? Preberite mojo strokovno stran o Active Directory Security →
Komentarji
Ni se komentarjev. Bodite prvi!
Dodaj komentar