Zakaj dobim Domain Admina pri vsakem penetracijskem testu

Ljudje me sprasujejo, zakaj je penetracijski test vreden stroska, ko "ze imamo EDR in pozarni zid." Nato jim pokazem, kako dobim dostop Domain Admin v njihovem okolju, obicajno v nekaj urah.

Resnica, ki vam je varnostni ponudniki ne bodo povedali: izdelki ne popravijo napacnih konfiguracij. Lahko imate najboljsi EDR, ki ga denar kupi, ampak ce imajo vasi servisni racuni sibka gesla in privilegije Domain Admin, bom to izkoristil. Noben alarm ne bo sprožen, ker uporabljam legitimne protokole na nacin, kot so namenjeni.

Moja standardna napadna pot

Tukaj je, kako izgleda tipicen dan, ko zanem interni penetracijski test:

Ura 1: Prikljucim se v omrezje in pozenem Responder. V nekaj minutah zajemam NTLMv2 zgošcene vrednosti iz naprav, ki iscejo omrezne vire. Vecino casa je SMB podpisovanje onemogoceno, tako da lahko te neposredno preusmerim.

Ura 2: Medtem ko tece Responder, presejam domeno s standardnim uporabniskim racunom (pogosto iz kompromitirane delovne postaje ali poverilnic iz zajetih zgošcenih vrednosti). Najdem servisne racune s SPN-ji in zahtevam njihove Kerberos vstopnice.

Ura 3: Razbijam gesla servisnih racunov. "SqlService2019!" razbijem v manj kot minuti. Servisni racun ima pravice Domain Admin, ker je "aplikacija potrebovala povišane privilegije."

Ura 4: Sem Domain Admin. Projekt se je sele zacel.

Kaj gre narobe

Tukaj ne gre za sofisticirano hekanje. Gre za osnovno higieno, ki se jo ignorira:

• Brez SMB podpisovanja = preusmerjam poverilnice prosto
• Sibka gesla servisnih racunov = Kerberoasting deluje
• Prevec privilegirani racuni = ena kompromitacija vodi v popolno kompromitacijo
• Brez segmentacije omrezja = moj dostop iz ene delovne postaje mi omogoca dosec vsega
• Brez vecnivojskega administratorskega modela = Domain Admini se prijavljajo na delovne postaje

Problem z belezenjem

Ko prosim podjetja, naj mi pokazejo svoje varnostne dnevnike AD, obicajno dobim prazen pogled. Belezijo dogodke krmilnika domene na lokalno shrambo, ki se napolni vsakih nekaj dni. Nihce jih ne pregleduje.

Tudi ko je belezenje konfigurirano:

• Ne spremljajo Kerberoastinga (dogodek 4769 z RC4)
• Ne alarmirajo na poskuse NTLM relay
• Ne sledijo operacijam DCSync
• Ne opazujejo sumljive uporabe servisnih racunov

Lahko delujem dneve brez sprožanja enega samega alarma, ker nihce ni konfiguriral alarmov za napade, ki jih dejansko izvajam.

Kaj bi morali storiti

Preden najamete penetracijskega testerja, popravite ocitne tezave:

1. Omogocite SMB in LDAP podpisovanje povsod
2. Uporabljajte Group Managed Service Accounts (gMSA)
3. Pozenite BloodHound proti svoji lastni domeni
4. Implementirajte vecnivojski administratorski model
5. Konfigurirajte pravilno belezenje in ga dejansko spremljajte
6. Onemogocite NTLM, kjer je mogoce

Nato najemite penetracijskega testerja. Ne za potrditev, da je vase omrezje varno, ampak da najdete tezave, ki ostanejo po tem, ko ste popravili lahko dosegljive stvari.

Rajsi bi nasel manj tezav, ker ste naredili osnove, kot pa vam dal 200-stransko porocilo polno istih problemov, ki jih ima vsako podjetje. Ta porocila vas ne naredijo bolj varne. Samo vas seznanijo s problemi, za katere bi morali ze vedeti.