Grundlegende Cybersicherheitsprüfung einer Microsoft-Domäne

Das Active Directory (Active Das Verzeichnis) ist für viele eine wichtige Komponente in der Infrastruktur Organisationen, die zur Verwaltung von Ressourcen und Benutzern in Umgebungen verwendet werden Windows. Das Active Directory-Audit ist unerlässlich, um sicherzustellen, dass Netzwerksicherheit und Datenintegrität. Als nächstes beginnend mit Wir gehen davon aus, dass ein Verstoß gegen einen Domänenbenutzer vorliegt, wir werden dies untersuchen Die wichtigsten Angriffsvektoren, die wir identifizieren müssen:

1. Privilegieneskalation Lokal

Aber nicht immer notwendig ist, wird dringend empfohlen, mit den Berechtigungen zu beginnen Verwaltung auf dem angreifenden Rechner. Auf diese Weise der Einsatz von Werkzeugen Es wird viel komfortabler sein. Dazu können Sie Tools wie PowerUp verwenden, WinPeas oder SeatBelt unter anderem, um Pfade zu identifizieren, die eine ermöglichen Eskalation an den lokalen Administrator.

2. Passwortrichtlinien

Eine Politik Ein schwaches Passwort kann für die Durchführung von Passwordspraying-Angriffen nützlich sein (Dies muss sorgfältig erfolgen, um Konten nicht zu sperren) oder für die anschließendes Knacken identifizierter Hashes. Darüber hinaus, wenn es keine gibt Sperrpolitik nach gescheiterten Versuchen wäre es möglich, brutale Gewalt anzuwenden gegen die gesamte Domain, ohne befürchten zu müssen, dass Benutzerkonten blockiert werden.

3. Identifizieren Sie Geheimnisse in geteilte Ordner.

Einmal Wenn Sie einen Domänenbenutzer haben, wird empfohlen, die Ordner aufzulisten freigegebene Dateien, auf die Sie Zugriff haben (z. B. mit smbclient). In Gelegentlich können Dokumente identifiziert werden, die irgendeine Art von enthalten Berechtigungsnachweis, der gültig sein oder als Ausgangspunkt dienen kann andere Passwörter erraten.

4. Identifizierung von Systemen veraltete Operationen

Muss sein Stellen Sie sicher, dass keine nicht mehr unterstützten Betriebssysteme verwendet werden und/oder veraltet. Diese Art von Ausrüstung kann sehr nützlich sein, da sie es ist mit hoher Wahrscheinlichkeit über ausnutzbare Schwachstellen mit Exploits verfügen öffentlich. Auch wenn es sich nicht um relevante Ziele handelt, kann auf sie zugegriffen werden Es könnte interessant sein, die von ihnen gespeicherten Anmeldeinformationen zu erhalten. Ist sehr Es ist wichtig, den IT-Manager darüber zu informieren, dass Sie Exploits verwenden werden. für den Fall, dass diese zu einem Leistungsabfall des Unternehmens führen könnten.

5. Kontoidentifikation privilegiert

Ist sehr Es ist interessant, einen ersten Aufzählungsprozess durchzuführen, bei dem Identifizieren Sie die Zielkonten, auf denen der gesamte Betrag gebunden werden kann Domain. In dieser Aufzählungsphase werden nicht nur die Konten von Domänenadministrator, aber es ist auch wichtig, Konten mit Berechtigungen zu identifizieren spezielle, die die Durchführung von Bewegungen in der Domäne ermöglichen. In Punkten Als nächstes werden wir sehen, warum das wichtig ist.

6. Identifizierung und Missbrauch Konten mit Eingeschränkter Delegation

Irgendwann Zuvor wurde darauf hingewiesen, dass es notwendig sei, Konten mit Berechtigungen zu identifizieren hoch, da es sich um einen bestimmten Typ eines privilegierten Kontos handelt. Diese können haben ihnen die Befugnis übertragen, sich als jeder Benutzer der Domain auszugeben für eine Reihe spezifischer Dienstleistungen. Dank dessen, wenn es erreicht wird Wenn Sie ein Konto mit eingeschränkter Delegation kompromittieren, besteht die Möglichkeit, sich auszugeben für jeden Benutzer für Windows-Dienste wie Host, RPCSS, http, wsman, cifs, ldap, krbtgt oder winrm.

8. Identifizierung und Missbrauch vonUneingeschränkten Delegation

Das ist etwas anderes Art eines hochverzinslichen privilegierten Kontos. Diese Konten sind autorisiert um TGT (Ticket Granting Ticket) von Kerberos von zu empfangen und zu speichern jedes Konto. Deshalb wäre es durch den Zugriff darauf möglich, die zu extrahieren darin gespeicherte Tickets. Andererseits ist es auch möglich erzwungene Authentifizierungsangriffe auf diesem Computer, also Erzwingen jede Domino-Maschine zur Authentifizierung gegenüber der uneingeschränkten Maschine beschäftigt. Auf diese Weise kann das neue Opfer (z. B. der Domänencontroller) Beispiel) würde eine Kopie Ihres TGT an die unbeschränkte Maschine senden Mögliches Abfangen.

9. Identifizieren und missbrauchen DCSync-Berechtigungen

Wir machen weiter mit interessante privilegierte Konten. In diesem Fall ist eine Identifizierung erforderlich Konten mit DCSync-Berechtigungen, d. h. Konten mit DS-Replication-Get-Changes-All-Berechtigungen und DS-Replication-Get-Changes. Wenn es uns gelingt, einen Ausweis zu kompromittieren Mit diesen Berechtigungen können wir einen DCSync-Angriff durchführen, oder was auch immer Stellen Sie sich vor, wir wären ein Domänencontroller, der seine Daten synchronisieren möchte Datenbank (ntds.dit) mit der des echten Domänencontrollers. Hier entlang Alle Domänen-Hashes würden abgerufen, einschließlich der des Domänenadministrators.

10. Ressourcenbasiert identifizieren und missbrauchen Eingeschränkte Delegation

ja wie Angreifer können ein Konto mit „GenericWrite“-Berechtigungen identifizieren oder „GenericAll“ über „ActiveDirectoryRights“ bedeutet, dass dieses Konto hat die Möglichkeit, jedem Benutzer eingeschränkte Delegationsberechtigungen zu erteilen Domänenkonto. Das heißt, wenn wir dieses Konto kompromittieren, Wir können angeben, dass jedes Konto in der Domain TGSs (Ticket) anfordern kann Garantieservice) für Dienste auf jedem Computer in der Domäne, einschließlich unseres Hauptziels: dem Domänencontroller.

11. Identifizieren und missbrauchen Anfällige Zertifikatvorlagen

Diese Art von Der Angriff basiert auf der Verwendung von Tools wie certify oder certipy um anfällige Zertifikatvorlagen in der CA zu identifizieren (certificate Unternehmensautorität. Es gibt eine Reihe anfälliger Szenarien möglich, die es einem Angreifer ermöglichen, im Namen anderer Zertifikate anzufordern Benutzer, zum Beispiel von einem Domänenadministrator oder von einem beliebigen Konto privilegiert.