ADExplorer - cómo enumerar un dominio cuando el antivirus no está de acuerdo

ADExplorer - nola zerrendatu domeinu bat birusen aurkakoa ados ez dagoenean

2024(e)ko ekainaren 24(a) Celia Catalán

Gaurko saioan antibirusak ados ez daudenean domeinu bat zerrendatzeari buruz hitz egingo dugu.

Segurtasun auditoretza batean, domeinua zenbatzea funtsezko zeregina da domeinu korporatiboaren azpiegituraren ikuspegi osoa lortzeko, eta horretarako SharpHound edo PowerView bezalako bilketa tresnak erabiltzen dira. Hala ere, tresna hauek sarritan detektatu eta blokeatzen dira birusen aurkako eta indarrean dauden beste segurtasun neurri batzuek. Gainera, auditoria baten ohiko denbora-mugak kontuan hartuta, ez da beti posible defentsa horiei ondo ihes egitea nahi den zenbaketa egiteko.

Kasu horietan, eraginkorrak ez ezik, diskretuak ere izan daitezkeen alternatibak bilatzeko beharra sortzen da. Alternatiba bikaina ADExplorer.exe da, Sysinternals-ek emandako eta Microsoft-ek sinatutako tresna. Microsoft bezalako entitate aitortu batek sinatua izanik, ADExplorer oro har asmo txarrik gabekotzat jotzen da eta, beraz, antibirusek blokeatzeko aukera gutxiago dute.

Hala ere, erasotzaile bat ADExplorer bezalako tresnak ustiatzen baditu. Baliteke LDAP kontsultak objectClass=* edo objectGuid=* edukitzea. Hau ez da ezinbestean aproposa, izan ere, erakundearen tamainaren arabera, berreskuratu beharreko datu kopuru handia izan dezake eta C2 baten eta agentea exekutatzen ari den lan-estaren arteko komunikazioak eten ditzake.

Domeinu-erabiltzaile bat edukitzetik hasita, ADExplorerrek domeinua ikuskatu eta Active Directoryren argazkia .dat fitxategi batean ateratzeko aukera ematen du. Argazki honek SharpHound-ek egindako erauzketa osoak bezain informazio zehatza ez duen arren (ez da saiorik zenbatzen, ez du eraso biderik ematen, etab.), domeinuen zenbaketa egiteko abiapuntu oso erabilgarria da oraindik.

ADExplorer erabiltzearen abantaila esanguratsuetako bat sortutako .dat fitxategia formatu erabilgarriago batean bihurtzeko gaitasuna da, azterketa gehiago egiteko. ADExplorerSnapshot.py tresna erabiliz, .dat fitxategia .json formatura bihur daiteke. Bihurketa honi esker, datuak BloodHound GUI batera inporta daitezke, Active Directory informazioa aztertzeko eta bistaratzeko plataforma oso erabilia. Horrela, bildutako informazioa ahalik eta etekin handiena atera dezakezu, sarearen azpiegitura eta ahultasun posibleak hobeto ulertzeko.

Gainera, ADExplorer-ek sareko monitorizazio-sistema askok gaiztotzat jotzen ez duten trafikoa sortzen du. Ezaugarri hau oso interesgarria izan daiteke talde gorrien ariketetarako, non helburua beharrezkoa den informazioa biltzea detektatu gabe. Bere trafikoarekin susmoa pizten ez duenez, ADExplorer tresna estrategiko bihurtzen da segurtasun-profesionalentzat auditoria integral bat egin nahi duten sareko defentsa-sistemak ohartarazi gabe.