08 Фев, 2023

ТЕСТИРОВАНИЕ НА ПРОНИКНОВЕНИЕ В ACTIVE DIRECTORY

Что такое Active Directory (AD)?

Представьте, что в вашей компании есть сеть на базе Windows, в которой есть различные сетевые объекты: серверы, домены, компьютеры, принтеры и другие службы. Вся информация об этих ресурсах должна быть организована в иерархическом порядке и где-то храниться, чтобы эффективно управлять сетью вашего бизнеса и предоставлять ее пользователям доступ к необходимым им ресурсам.

AD is a Microsoft technology that solves these challenges. It’s presented as a База данных или Active в нем хранится вся информация об организационных подразделениях и их учетных данных, а также определяются их права доступа или авторизации. В AD можно создать более 2 миллиардов объектов, что позволяет использовать его в компаниях с сотнями тысяч компьютеров и пользователей. С этого момента мы видим, что РЕКЛАМА - это критический компонент в бизнес-инфраструктуре и таких уязвимостях, как нарушение контроля доступа, сбои идентификации и аутентификации, раскрытие конфиденциальных данных из-за OWASP top 10 может привести к разрушительным последствиям для компании и ее пользователей.

Penetration Testing as a service (PTaaS)

Tests security measures and simulates attacks to identify weaknesses.

Let’s dive in deeper. What is AD structure and how it stores information?

Прежде всего, мы говорим не о каком-либо устройстве, которое работает под управлением Windows, а также о Доменных службах Active Directory that define specific roles and functions for it with its own protocols. Also we mention only local AD in this article, but be aware that there is another technology for the cloud environments — Azure AD.

Объявление состоит из доменов как части домена деревья и лес или группы со своим корневым доменом, серверы Windows с контроллерами доменов роли, которые хранят копию каталога для всего домена, и, наконец, сам каталог со своей собственной структурой, как перегородка информации об объектах. Раздел необходим для структурирования и хранения различных типов информации в разных местах. Структура организации данных называется схему. Одним из разделов является Данные домена в нем хранится вся важная информация о сетевых объектах (имена пользователей, электронные письма, пароли) и изменениях их состояний (смена пароля, удаление пользователя, создание нового пользователя и т.д.). 

Когда изменения сохраняются на одном контроллере домена (или Windows server), они копируются на другие контроллеры домена. Этот процесс называется репликацией. Итак, как пользователи и приложения находят информацию о конкретном объекте среди всей информации, хранящейся в разных местах?

Предположим, вы хотите найти принтер в системе. Принтер имеет свой собственный идентификационный номер, который хранится не только в его собственном каталоге на контроллере домена, но и в Глобальном каталоге.Глобальный каталог - это контроллер домена, который хранит полную копию всех объектов в своем каталоге домена и частичную копию всех объектов всех других доменов в своем доменном лесу. Таким образом, благодаря этому вы быстрее найдете информацию о принтере. Но помните, что информация о принтере останется в границах определенного доменного леса. Этот объект не может взаимодействовать с объектами из других лесов домена. Однако это может быть настроено администраторами. Это делается по соображениям безопасности, и только администраторы могут устанавливать разрешения для таких взаимодействий.

Что произойдет, если Глобальный каталог перестанет работать?

The entire database is stored on this domain controller, so if it fails, the entire system will be unavailable. To prevent this, there is replication of one or more duplicate domain controllers, in the best case it’s automatic. And if one replicant fails, it will not disrupt the entire system, as the others will continue to work.

С точки зрения безопасности, AD - это авторизация в сети, и эффективность AD как средства безопасности будет зависеть от современных сервисов, исправлений и протоколов безопасности, реализованных в нем. Протоколами или стандартами по умолчанию, используемыми в AD, являются LDAP (протокол облегченного доступа к каталогам) и DNS (система доменных имен). Самое основное требование к службам аутентификации таково: когда пользователь, устройство или приложение пытается использовать любой из сетевых объектов (компьютер, сервер, принтер), эти службы разрешают это действие, если доступны необходимые права, или блокируют его. 

Все начинается с малого

Все начинается с компрометации отдельных частей инфраструктуры. Точки входа для хакера - это самые слабые и уязвимые места в системе, которые чаще всего не исправлены, используют устаревшие версии программного обеспечения и слабые политики, существуют пробелы в развертывании антивируса и защиты от вредоносных программ и отсутствие современной безопасности. 

Другой стороной медали является увеличение сложности системы и ее перенасыщение услугами, технологиями и решениями в области безопасности. Главный враг безопасности - это сложность. Чем сложнее система, тем больше ресурсов требуется для ее обслуживания, тем сложнее ее понимать и контролировать и тем больше возникает точек входа для хакера. 

Наиболее привлекательными для хакера являются учетные записи пользователей с высокими привилегиями. It’s not just about using default, easy-to-guess usernames and passwords. Sometimes such users leave the possibility of their credentials being stolen (logs into account on an insecure computer, browsing the Internet with a highly privileged account and saving credentials in the browser, opening phishing emails). Without administration monitoring of anomaly user actions with access to sensitive data, a hacker can freely change system configurations without being noticed. In addition, if the system does not explicitly restrict the rights of administrators, it gives the hacker the opportunity to cover as wide an area of attack as possible. 

Также стоит обратить внимание на тот факт, что резервные копии рекламы не всегда очищаются: если вообще есть какие-то резервные копии! В резервных копиях может сохраняться информация о большинстве сетевых объектов или даже обо всей схеме AD. Как только пользователь входит в систему контроллера домена, он или она получает доступ практически ко всей информации в сети.

Слушайте статистику

Еще в 2015 году Microsoft оценочный что 95 миллионов РЕКЛАМНЫХ аккаунтов ежедневно подвергаются атакам. Двигаясь дальше сегодня, COVID-19 и последующая война в Украине кардинально изменили рабочее место. В нашем мире, ориентированном на облака и мобильные устройства, зависимость от рекламы стремительно растет, как и уровень атак. 

В Украине с начала войны зафиксировано 4 случая серьезных нападений на АД: Герметичный змеевик, Кадиллак, РэнсомБоггс, ПрестижИ это лишь самые известные случаи 2022 года. Фактическое количество атак намного выше. Это не единственные и уж точно не последние случаи нападений. И это еще раз подтверждает необходимость надежной защиты, своевременного реагирования на нападение и быстрого устранения его последствий. 

Последствия таких атак сильно бьют по бюджету. В большинстве случаев хакеры используют программы-вымогатели. Выплаты выкупа поощряют новые нападения, финансируют терроризм и не дают никаких гарантий. Но альтернатива часто обходится еще дороже, а глобальный ущерб от программ-вымогателей, по прогнозам, достигнет 20 миллиардов долларов США к 2021 году

Организации крайне не готовы к этому: при широкомасштабном отключении вы должны восстановить AD, прежде чем сможете восстановить свой бизнес. Но в соответствии с опрос , проведенный Институтом SANSТаким образом, только каждая пятая организация имеет проверенный план восстановления AD после кибератаки. 

Более 50% многие респонденты на самом деле никогда не тестировали свой процесс аварийного восстановления AD cyber или вообще не имели никакого плана. Хорошие новости для хакеров! 

Наиболее распространенные РЕКЛАМНЫЕ атаки с использованием эксплойтов

Pass the Ticket 

Злоумышленник получает несанкционированный доступ к сети, используя украденные учетные данные. Он или она использует действительный билет аутентификации (тип пароля) для получения доступа к сети. Это позволяет злоумышленнику перемещаться по сети вбок, компрометируя несколько систем и потенциально крадя конфиденциальную информацию.

! Используйте Предварительная проверка подлинности Kerberos инструмент для использования уязвимости в протоколе проверки подлинности Kerberos для получения доступа к ресурсам AD.

! Используйте Mimikatz для извлечения конфиденциальной информации из систем Windows (памяти), включая имена пользователей и пароли.

Передача хэша

The attacker is able to steal a user’s password hash (a type of encrypted password) and use it to gain unauthorized access to a network. Instead of cracking the hash to determine the actual password, the attacker can simply pass the hash to the network, bypass the need for entering the password (because hash changes only when the password itself is changed)  and gain access as the compromised user. 

! Используйте Responder инструмент для сбора и использования хэшей NTLM пользователей AD.

Распыление пароля

Is a type of attack that targets multiple user accounts with a few commonly-used passwords, instead of using a large number of passwords for each individual account. The idea is that, even if a large percentage of users have strong passwords, a small percentage may use easily guessable passwords, such as “123456” or “password”. The attacker will spray these weak passwords across many accounts, hoping to find a match and gain access to the network. This type of attack is particularly effective against organizations with a large number of users, as the attacker can potentially compromise a significant number of accounts with a relatively small number of password attempts.

Golden Ticket

The attacker creates a fake authentication ticket, known as a “Golden Ticket” (think of Willy Wonka’s chocolate factory)  that can be used to gain unauthorized access to the whole AD network. The attacker can use the Golden Ticket to impersonate any user in the network, including privileged users. This type of attack is particularly dangerous as it can bypass traditional security measures and can remain undetected for a long period of time.

Тень постоянного тока

Злоумышленник создает поддельные объекты AD, такие как учетные записи пользователей или группы, и изменяет существующие объекты, такие как политики паролей, в теневой копии базы данных AD. Изменения, внесенные в теневую копию, не отображаются в реальной базе данных объявлений. Затем злоумышленник может использовать поддельные объекты для получения несанкционированного доступа к сети, а затем поставить под угрозу безопасность всей сети, нацелившись на контроллеры домена, центральное хранилище всей рекламной информации.

! Используйте Mimikatz для выполнения атаки DCShadow. 

! Используйте Metasploit для разработки и выполнения эксплойтов.

Ссылки на CWE

CWE-532 Предоставление информации через список каталогов Если на хосте разрешен список каталогов (эта опция может быть настроена), то злоумышленник может легко перечислить содержимое каталога. Это может предоставить злоумышленнику ценную информацию, такую как имена файлов конфигурации или конфиденциальные данные, которые затем могут быть использованы для проведения дальнейших атак.

Недостатки управления учетными данными CWE-255 в том, как хранятся, управляются и защищаются учетные данные, что приводит к риску кражи или несанкционированного доступа.

CWE-306 Отсутствие аутентификации из-за критических функциональных недостатков в том, как приложения AD реализуют элементы управления аутентификацией, что приводит к риску несанкционированного доступа к конфиденциальной информации.

CWE-306 Обход аутентификации по альтернативным именам Недостатки в том, как приложения AD обрабатывают альтернативные имена пользователей, что приводит к риску несанкционированного доступа.

CWE-311 Отсутствие шифрования конфиденциальных данных Недостатки в том, как рекламные приложения шифруют конфиденциальную информацию, что приводит к риску кражи или раскрытия данных.

CWE-522 Недостаточно защищенные учетные данные Недостатки в том, как приложения AD хранят и управляют конфиденциальной информацией, такой как учетные данные, что приводит к риску кражи или разоблачения.

Разведка процесса пентестирования

Использование WADComs в качестве шпаргалки,  HackTricks Методология тестирования рекламы и небольшая Mindmap для тестирования рекламы. В этой статье мы подробно остановимся на этапе разведки.  

Соберите всю информацию об архитектуре сети, типах ресурсов, используемых и хранящихся в AD, типах организационных подразделений и групп и их привилегиях в сети доступа. Собирайте IP-адреса, домены, имена хостов. Изучите документы компании, веб-сайты, профили в социальных сетях, объявления о вакансиях и другие общедоступные источники. Просканируйте все порты, чтобы определить, какие службы запущены на каждом хосте, с помощью автоматизированного инструмента Nmap с его сценариями. и выявлять потенциальные уязвимости в целевой сети или ее точках входа. 

! Используйте Bloodhound или ADEnum для визуализации и анализа взаимосвязей между пользователями, компьютерами и другими объектами в рекламной среде.

Для сбора информации об открытых портах и службах на них используйте следующие методы nmap:

     nmap -sP -p <ip>  
     nmap -PN -sV –top-ports 50 –open <ip># быстрое сканирование 
     nmap -PN -sC -sV <ip># классическое сканирование 
     nmap -PN -sC -sV -p- <ip># полное сканирование 
     nmap -sU -sC -sV <ip># udp-сканирование
     nmap -PN –script smb-vuln -p139,445 <ip># поиск уязвимостей малого и среднего бизнеса

Nmap также можно использовать для запуска пользовательских Скриптов, известный как NSE (скриптовый движок Nmap) Скриптов, для выполнения конкретных задач.  

     nmap –script ldap-search.nse <ip> 

Выполните поиск LDAP в целевой среде и соберите информацию о структуре объявления.

     nmap –script msrpc-перечисление.nse <ip>

Gather information about the target environment’s Microsoft Remote Procedure Call (RPC) services, including the names of users and groups.

     nmap –script smb-перечисление-domains.nse <ip>

Перечислите домены в целевой среде и соберите информацию о структуре домена.

     nmap –script smb-перечисление-groups.nse <ip>

Перечислите группы в целевой среде и соберите информацию о структуре группы.

     nmap –script smb-перечисление-users.nse <ip>

Перечислите пользователей в целевой среде и соберите информацию о структуре пользователей.

⠀⠀

Перечислить LDAP (Облегченный протокол доступа к каталогу)

Перечисление LDAP включает в себя использование таких инструментов, как ad-ldap-enum для запроса скриптов службы каталогов LDAP и Nmap. 

     nmap -n -sV –script “ldap” and not brute” -p 389 <dc-ip>
 

Перечислить IP-адрес объявления

     nslookup -тип=SRV _ldap._tcp.dc._msds.//ДОМЕН/

Список гостевого доступа на общем ресурсе SMB

     enum4linux -a -u ”” -p “” <dc-ip> &&
     enum4linux -a -u “guest” -p “” <dc-ip> 
     smbmap -u “” -p “” -P 445 -H <dc-ip>&& 
     smbmap -u “guest” -p “” -P 445 -H <dc-ip>
     smbclient -U ‘%’ -L //<dc-ip>
     guest%’ -L //<dc-ip> 
     cme smb <ip> -u “ -p “ 
     cme smb <ip> -u ‘a’ -p “ 

Перечислять пользователей 

     enum4linux -U <dc-ip> | grep ‘user:’
     crackmapexec smb <ip> -u <user> -p’<password>’ –users 
     nmap -p 88 –script-krb5-enum-users –script-args-”krb5-enum-users.realm-’<domain>’, userdb-<users_list_file>” <ip>

Дополнительные инструменты для разведки

CrackMapExec для выполнения модулей после эксплуатации в среде AD.

Aclpwn за использование неправильно настроенных списков управления доступом в средах AD.

ADExplorer для изучения и редактирования объектов и атрибутов рекламы.

Заключение

Active Directory is a centralized database in Microsoft’s Windows server environment used by organizations to manage user and computer accounts and access to network resources. It is important to know how it needs to be designed, deployed, managed, monitored and secured to successfully test it for known vulnerabilities. Remember that strength of AD security is determined by how well the little weakest things are secured. 

Cryeye проводит десятки различных аудитов, направленных на выявление слабых мест в Active Directory. И количество проверок растет с каждым днем. Он включает в себя аудит уязвимостей, сбор информации о пользователях, используемом оборудовании, хэшах паролей, доменах, администраторах и контроллерах домена. Вся информация визуализируется и отображается таким образом, что даже пользователь без глубоких технических знаний может легко разобраться в ней и, впоследствии, устранить слабые места. 

Спасибо за внимание! 

Другие Услуги

Готовы к безопасности?

Связаться с нами