08 Лют, 2023

ТЕСТУВАННЯ НА ПРОНИКНЕННЯ В ACTIVE DIRECTORY

Що таке Active Directory (AD)?

Уявіть, що у вашій компанії є мережа на базі Windows, в якій є різні мережеві об'єкти: сервери, домени, комп'ютери, принтери та інші служби. Вся інформація про цих ресурсах повинна бути організована в ієрархічному порядку і десь зберігатися, щоб ефективно управляти мережею вашого бізнесу і надавати її користувачам доступ до необхідних їм ресурсів.

AD is a Microsoft technology that solves these challenges. It’s presented as a Бази даних чи Active в ньому зберігається вся інформація про організаційних підрозділах та їх облікових даних, а також визначаються їх права доступу або авторизації. У AD можна створити більше 2 мільярдів об'єктів, що дозволяє використовувати його в компаніях з сотнями тисяч комп'ютерів і користувачів. З цього моменту ми бачимо, що РЕКЛАМА - це критичний компонент у бізнес-інфраструктури та вразливості таких, як порушення контролю доступу, збої ідентифікації і аутентифікації, розкриття конфіденційних даних через OWASP top 10 може призвести до руйнівних наслідків для компанії та її користувачів.

Penetration Testing as a service (PTaaS)

Tests security measures and simulates attacks to identify weaknesses.

Let’s dive in deeper. What is AD structure and how it stores information?

Насамперед, ми говоримо не про який-небудь пристрій, що працює під управлінням Windows, а також про Доменні служби Active Directory that define specific roles and functions for it with its own protocols. Also we mention only local AD in this article, but be aware that there is another technology for the cloud environments — Azure AD.

Оголошення складається з доменів як частини домену дерева и ліс або групи зі своїм кореневим доменом, сервери Windows контролери домену ролі, які зберігають копію каталогу для всього домену, і, нарешті, сам каталог зі своєю власною структурою, як перегородка інформації про об'єкти. Розділ необхідний для структурування й зберігання різних типів інформації в різних місцях. Структура організації даних називається схемой. Одним з розділів є Дані домену в ньому зберігається вся важлива інформація про мережеві об'єктах (імена користувачів, електронні листи, паролі) та зміни їх станів (зміна пароля, видалення користувача, створення нового користувача тощо). 

Коли зміни зберігаються на одному контролері домену (або Windows server), вони копіюються на інші контролери домену. Цей процес називається реплікацією. Отже, як користувачі і додатки знаходять інформацію про конкретний об'єкт серед всієї інформації, що зберігається в різних місцях?

Припустимо, ви хочете знайти принтер у системі. Принтер має свій власний ідентифікаційний номер, який зберігається не лише в його власному каталозі на контролері домену, але і в Глобальному каталозі.Глобальний каталог - це контролер домену, який зберігає повну копію всіх об'єктів в своєму каталозі домену і часткову копію всіх об'єктів усіх інших доменів в своєму доменному лісі. Таким чином, завдяки цьому ви швидше знайдете інформацію про принтері. Але пам'ятайте, що інформація про принтері залишиться в межах певного доменного лісу. Цей об'єкт не може взаємодіяти з об'єктами з інших лісів домену. Однак це може бути налаштоване адміністраторами. Це робиться з міркувань безпеки, і лише адміністратори можуть встановлювати дозволу для таких взаємодій.

Що станеться, якщо Глобальний каталог перестане працювати?

The entire database is stored on this domain controller, so if it fails, the entire system will be unavailable. To prevent this, there is replication of one or more duplicate domain controllers, in the best case it’s automatic. And if one replicant fails, it will not disrupt the entire system, as the others will continue to work.

З точки зору безпеки, AD - це авторизація в мережі, і ефективність AD як засоби безпеки буде залежати від сучасних сервісів, виправлень і протоколів безпеки, реалізовані в ньому. Протоколами або стандартами за замовчуванням, використовуваними в AD, є LDAP (протокол полегшеного доступу до каталогів) і DNS (системи доменних імен). Саме основна вимога до служб аутентифікації таке: коли користувач, пристрій або програма намагається використовувати будь-який з мережевих об'єктів (комп'ютер, сервер, принтер), ці служби дозволяють це дія, якщо доступні необхідні права, або блокують його. 

Все починається з малого

Все починається з компрометації окремих частин інфраструктури. Точки входу для хакера - це найбільш слабкі і вразливі місця в системі, які найчастіше не виправлені, використовують застарілі версії програмного забезпечення і слабкі політики, існують прогалини в розгортанні антивіруса і захисту від шкідливих програм і відсутність сучасної безпеки. 

Іншою стороною медалі є збільшення складності системи і її перенасичення послугами, технологіями та рішеннями в області безпеки. Головний ворог безпеки - це складність. Чим складніше система, тим більше ресурсів потрібно для її обслуговування, тим складніше її розуміти і контролювати і тим більше виникає точок входу для хакера. 

Найбільш привабливими для хакера є облікові записи користувачів з високими привілеями. It’s not just about using default, easy-to-guess usernames and passwords. Sometimes such users leave the possibility of their credentials being stolen (logs into account on an insecure computer, browsing the Internet with a highly privileged account and saving credentials in the browser, opening phishing emails). Without administration monitoring of anomaly user actions with access to sensitive data, a hacker can freely change system configurations without being noticed. In addition, if the system does not explicitly restrict the rights of administrators, it gives the hacker the opportunity to cover as wide an area of attack as possible. 

Також варто звернути увагу на той факт, що резервні копії реклами не завжди очищаються: якщо взагалі є якісь резервні копії! В резервних копіях може зберігатися інформація про більшості мережевих об'єктів або навіть про всю ОГОЛОШЕННЯ схеми. Як тільки користувач входить в систему контролера домену, він або вона отримує доступ практично до всієї інформації в мережі.

Слухайте статистику

Ще в 2015 році Microsoft оцінний що 95 мільйонів РЕКЛАМНИХ акаунтів щодня піддаються атакам. Рухаючись далі сьогодні, COVID-19 і наступна війна в Україні кардинально змінили робоче місце. У нашому світі, орієнтованому на хмари і мобільні пристрої, залежність від реклами стрімко зростає, як і рівень атак. 

В Україні з початку війни зафіксовано 4 випадки серйозних нападів на ПЕКЛО: Герметичний змійовик, Кадилак, РэнсомБоггс, ПрестижІ це лише найбільш відомі випадки 2022 року. Фактична кількість атак набагато вище. Це не єдині і вже точно не останні випадки нападів. І це ще раз підтверджує необхідність надійного захисту, своєчасного реагування на напад і швидкого усунення його наслідків. 

Наслідки таких атак сильно б'ють по бюджету. У більшості випадків хакери використовують програми-викрадачі. Виплати викупу заохочують нові напади, фінансують тероризм і не дають жодних гарантій. Але альтернатива часто обходиться ще дорожче, а глобальний збиток від програм-вимагачів, за прогнозами, досягне 20 мільярдів доларів США до 2021 року

Організації вкрай не готові до цього: при широкомасштабному відключенні ви повинні відновити AD, перш ніж зможете відновити свій бізнес. Але відповідно до опитування , проведене Інститутом SANSТаким чином, тільки кожна п'ята організація має перевірений план відновлення AD після кібератаки. 

Більше 50% багато респонденти насправді ніколи не тестували свій процес аварійного відновлення AD cyber або взагалі не мали жодного плану. Хороші новини для хакерів! 

Найбільш поширені РЕКЛАМНІ атаки з використанням експлойтів

Pass the Ticket 

Зловмисник отримує несанкціонований доступ до мережі, використовуючи вкрадені облікові дані. Він або вона використовує дійсний квиток аутентифікації (тип паролю для доступу до мережі. Це дозволяє зловмисникові переміщатися по мережі вбік, компрометуючи кілька систем і потенційно крадучи конфіденційну інформацію.

! Використовуйте Попередня перевірка достовірності Kerberos інструмент для використання уразливості в протоколі автентифікації Kerberos для отримання доступу до ресурсів AD.

! Використовуйте Mimikatz для отримання конфіденційної інформації з систем Windows (пам'яті), включаючи імена користувачів і паролі.

Передача хеша

The attacker is able to steal a user’s password hash (a type of encrypted password) and use it to gain unauthorized access to a network. Instead of cracking the hash to determine the actual password, the attacker can simply pass the hash to the network, bypass the need for entering the password (because hash changes only when the password itself is changed)  and gain access as the compromised user. 

! Використовуйте Responder інструмент для збору і використання хешей NTLM користувачів AD.

Розпорошення паролю

Is a type of attack that targets multiple user accounts with a few commonly-used passwords, instead of using a large number of passwords for each individual account. The idea is that, even if a large percentage of users have strong passwords, a small percentage may use easily guessable passwords, such as “123456” or “password”. The attacker will spray these weak passwords across many accounts, hoping to find a match and gain access to the network. This type of attack is particularly effective against organizations with a large number of users, as the attacker can potentially compromise a significant number of accounts with a relatively small number of password attempts.

Golden Ticket

The attacker creates a fake authentication ticket, known as a “Golden Ticket” (think of Willy Wonka’s chocolate factory)  that can be used to gain unauthorized access to the whole AD network. The attacker can use the Golden Ticket to impersonate any user in the network, including privileged users. This type of attack is particularly dangerous as it can bypass traditional security measures and can remain undetected for a long period of time.

Тінь постійного струму

Зловмисник створює підроблені об'єкти AD, такі як облікові записи користувачів або групи, і змінює існуючі об'єкти, такі як політики паролів, у тіньової копії бази даних AD. Зміни, внесені в тіньову копію, не відображаються в реальній базі даних оголошень. Потім зловмисник може використовувати підроблені об'єкти для отримання несанкціонованого доступу до мережі, а потім поставити під загрозу безпеку всієї мережі, націлившись на контролери домену, центральне сховище всієї рекламної інформації.

! Використовуйте Mimikatz для виконання атаки DCShadow. 

! Використовуйте Metasploit для розробки і виконання експлойтів.

Посилання на CWE

CWE-532 Надання інформації через список каталогів Якщо на хості дозволений список каталогів (ця опція може бути налаштована), то зловмисник може легко перерахувати вміст каталогу. Це може надати зловмиснику цінну інформацію, таку як імена файлів конфігурації або конфіденційні дані, які потім можуть бути використані для проведення подальших атак.

Недоліки управління обліковими даними CWE-255 в тому, як зберігаються, управляються і захищаються облікові дані, що призводить до ризику крадіжки або несанкціонованого доступу.

CWE-306 Відсутність аутентифікації через критичних функціональних недоліків у тому, як програми AD реалізують елементи управління аутентифікацією, що призводить до ризику несанкціонованого доступу до конфіденційної інформації.

CWE-306 Обхід аутентифікації по альтернативних імен Недоліки в тому, як програми AD обробляють альтернативні імена користувачів, що призводить до ризику несанкціонованого доступу.

CWE-311 Відсутність шифрування конфіденційних даних Недоліки в тому, як рекламні додатки шифрують конфіденційну інформацію, що призводить до ризику крадіжки або розкриття даних.

CWE-522 Недостатньо захищені облікові дані Недоліки в тому, як програми AD зберігають і керують конфіденційною інформацією, такий як облікові дані, що призводить до ризику крадіжки або викриття.

Розвідка процесу пентестирования

Використання WADComs в якості шпаргалки,  HackTricks Методологія тестування реклами і невелика Mindmap для тестування реклами. У цій статті ми детально зупинимося на етапі розвідки.  

Зберіть всю інформацію про архітектуру мережі, типах ресурсів, що використовуються та зберігаються у AD, типи організаційних підрозділів і груп та їх привілеї у мережі доступу. Збирайте IP-адреси, домени, імена хостів. Вивчіть документи компанії, веб-сайти, профілі в соціальних мережах, оголошення про вакансії та інші загальнодоступні джерела. Перевірте всі порти, щоб визначити, які служби запущені на кожному хості, з допомогою автоматизованого інструменту Nmap з його сценаріями. і виявляти потенційні уразливості в цільовій мережі або її точках входу. 

! Використовуйте Bloodhound чи ADEnum для візуалізації та аналізу взаємозв'язків між користувачами, комп'ютерами та іншими об'єктами в рекламному середовищі.

Для збору інформації про відкритих портах і службах на них використовуйте наступні методи nmap:

     nmap -sP -p <ip>  
     nmap -PN -sV –top-ports 50 –open <ip># швидке сканування 
     nmap -PN -sC -sV <ip># класичне сканування 
     nmap -PN -sC -sV -p- <ip># повне сканування 
     nmap -sU -sC -sV <ip># udp-сканування
     nmap -PN –script smb-vuln -p139,445 <ip># пошук вразливостей малого та середнього бізнесу

Nmap також можна використовувати для запуску користувальницьких Скрипти, відомий як NSE (скриптова движок Nmap) Скриптидля виконання конкретних завдань.  

     nmap –script ldap-search.nse <ip> 

Виконайте пошук LDAP цільової середовищі і зберіть інформацію про структуру оголошення.

     nmap –script msrpc-перерахування.nse <ip>

Gather information about the target environment’s Microsoft Remote Procedure Call (RPC) services, including the names of users and groups.

     nmap –script smb-перерахування-domains.nse <ip>

Перерахуйте домени в цільової середовищі і зберіть інформацію про структурі домена.

     nmap –script smb-перерахування-groups.nse <ip>

Перелічіть групи цільової середовищі і зберіть інформацію про структуру групи.

     nmap –script smb-перерахування-users.nse <ip>

Перерахуйте користувачів цільової середовищі і зберіть інформацію про структуру користувачів.

⠀⠀

Перерахувати LDAP (Полегшений протокол доступу до каталогів)

Перерахування LDAP включає в себе використання таких інструментів, як ad-ldap-enum для запиту скриптів служби каталогів LDAP і Nmap. 

     nmap -n -sV –script “ldap” and not brute” -p 389 <dc-ip>
 

Перерахувати IP-адреса оголошення

     nslookup -тип=SRV _ldap._tcp.dc._msds.//ДОМЕН/

Список гостьового доступу на спільному ресурсі SMB

     enum4linux -a -u ”” -p “” <dc-ip> &&
     enum4linux -a -u “guest” -p “” <dc-ip> 
     smbmap -u “” -p “” -P 445 -H <dc-ip>&& 
     smbmap -u “guest” -p “” -P 445 -H <dc-ip>
     smbclient -U ‘%’ -L //<dc-ip>
     guest%’ -L //<dc-ip> 
     cme smb <ip> -u “ -p “ 
     cme smb <ip> -u ‘a’ -p “ 

Перераховувати користувачів 

     enum4linux -U <dc-ip> | grep ‘user:’
     crackmapexec smb <ip> -u <user> -p’<password>’ –users 
     nmap -p 88 –script-krb5-enum-users –script-args-”krb5-enum-users.realm-’<domain>’, userdb-<users_list_file>” <ip>

Додаткові інструменти для розвідки

CrackMapExec для виконання модулів після експлуатації в середовищі AD.

Aclpwn за використання неправильно налаштованих списків управління доступом в середовищах AD.

ADExplorer для вивчення і редагування об'єктів і атрибутів реклами.

Висновок

Active Directory - це централізована база даних у середовищі Microsoft Windows Server, яка використовується організаціями для управління обліковими записами користувачів і комп'ютерів і доступу до мережевих ресурсів. Важливо знати, як він повинен бути спроектований, розгорнутий, управлятися, контролюватися і захищений, щоб успішно протестувати його на наявність відомих вразливостей. Пам'ятайте, що надійність захисту реклами визначається тим, наскільки добре захищені найслабші місця. 

Cryeye проводить десятки різних аудитів, спрямованих на виявлення слабких місць в Active Directory. І кількість перевірок зростає з кожним днем. Він включає в себе аудит вразливостей, збір інформації про користувачів, використовуване обладнання, хэшах паролів, доменах, адміністраторів і контролерах домену. Вся інформація візуалізується і відображається таким чином, що навіть користувач без глибоких технічних знань може легко розібратися в ній і, згодом, усунути слабкі місця. 

Дякую за увагу! 

Інші Послуги

Готові до безпеки?

зв'язатися з нами