stihl не предоставил(а) никакой дополнительной информации.
В этой статье я продемонстрирую две атаки на Active Directory, опишу используемые злоумышленниками утилиты и расскажу о ключевых индикаторах, на которые стоит обратить внимание при возникновении подозрительной активности. Практические задания будем выполнять на лабораторных работах Sherlocks с платформы Hack The Box.
или Зарегистрируйся».
Когда злоумышленник перехватывает сетевой трафик с помощью атаки LLMNR Poisoning, он может также попытаться ретранслировать перехваченное сообщение для аутентификации в той или иной службе от имени жертвы.
Такая продвинутая версия LLMNR-отравления будет называться атакой NTLM Relay, она соотносится с Для просмотра ссылки Войдиили Зарегистрируйся в MITRE ATT&CK. Возможность такой атаки обусловлена тем, что сам NTLM не обеспечивает безопасности сеанса.
Утилита ntlmrelayx из набора Impacket — инструмент, которым чаще всего пользуются для подобных атак.
В описании лабораторной рассказывается о подозрительном входе в систему, на который необходимо срочно обратить внимание. Подробности заключаются в том, что IP-адрес и имя исходной рабочей станции не совпадают.
Для определения ретрансляции NTLM в сети понадобятся журналы сетевой телеметрии и аудита входа в систему. Подход к обнаружению NTLM Relay достаточно необычен, поскольку требует сопоставления IP-адресов с именами хостов. В крупных корпоративных средах будет тяжело следить за этим, так как список IP-адресов достаточно большой. Телеметрия сети в таком случае сильно упростит определение скомпрометированного хоста.
Reaper предоставляет дамп сетевого трафика компании, с его помощью можно установить основные конечные точки в виде внутренних IP-адресов.
Просмотрим статистику .pcap-файла, определим внутрикорпоративную сеть и уберем из подозреваемых различные широковещательные адреса и шлюзы (IP-адреса, заканчивающиеся на .1, .2 и .255).
Для просмотра ссылки Войдиили Зарегистрируйся
Получить имена хостов можно с использованием службы имен NetBios и одноименного фильтра в Wireshark — nbns.
Для просмотра ссылки Войдиили Зарегистрируйся
Сразу же наблюдаем небольшой список имен хостов:
Для просмотра ссылки Войдиили Зарегистрируйся
Видно, что пользователь arthur.kyle участвовал в процессе аутентификации с подозрительного IP-адреса. Также можно наблюдать IP-адрес Wkstn002. Судя по трафику, пользователь является учеткой как раз этого хоста, чьи данные и были украдены.
В следующем потоке пакетов можно заметить, что аутентификация учетной записи пользователя arthur.kyle осуществляется с двух разных компьютеров (один — легитимный, второй — MITM).
Проанализируем предоставленный журнал событий безопасности от WKSTN001, предварительно отфильтровав события с идентификатором 4624.
Для просмотра ссылки Войдиили Зарегистрируйся
Зная из анализа .pcap примерные временные рамки, не составит большого труда найти подходящее событие и изучить его.
Для просмотра ссылки Войдиили Зарегистрируйся
Отметим несколько индикаторов того, что атака NTLM Relay была проведена успешно:
Чтобы получить доступ к файлу NTDS.dit, злоумышленнику необходимо обладать административными правами в системе. Если он получит доступ к контроллеру домена, то сможет извлечь файл NTDS.dit вместе с данными из ключа реестра HKEY_LOCAL_MACHINE\SYSTEM, содержащего все необходимые сведения для дешифровки данных NTDS.dit.
Хотя служба Active Directory запрещает доступ к этому файлу во время работы, злоумышленник может воспользоваться службой создания теневых копий томов (Volume Shadow Copy Service, VSS) для создания снимка тома и извлечения файла NTDS.dit из него. Также можно сделать копию с помощью диагностического инструмента NTDSUTIL.exe, доступного в составе Active Directory.
Если злоумышленник имеет набор действительных учетных данных, он может воспользоваться таким инструментом, как CrackMapExec, и удаленно сбросить файл NTDS.dit, а после проанализировать его.
После того как хакер похитит файл NTDS.dit и ключ реестра HKLM\SYSTEM, он сможет проводить дальнейшие атаки без доступа к службе AD. Получив хеши паролей из файла NTDS.dit, злоумышленник может попытаться подобрать пароли офлайн. Если не получится взломать хеши в автономном режиме, он также может использовать их в атаках типа pass-the-hash для дальнейшего продвижения в системе.
Информация о домене из этих файлов может быть проанализирована с использованием утилиты secretsdump, которая входит в состав набора инструментов Impacket.
В MITRE ATT&CK эта атака относится к Для просмотра ссылки Войдиили Зарегистрируйся.
Мы обнаружим событие запуска Volume Shadow Copy, а в разделе подробностей будет указано точное время начала работы службы, на которое в будущем мы и станем ориентироваться.
Для просмотра ссылки Войдиили Зарегистрируйся
В журнале безопасности при создании теневой копии тома также отображаются события, в которых VSSVC.exe проверяет права с помощью учетной записи компьютера и перечисляет группы пользователей. Event ID 4799 логирует перечисление участия в защищенных локальных группах.
Такие перечисления будут выполняться большое количество раз за пару секунд, что вполне можно считать подозрительной активностью.
Для просмотра ссылки Войдиили ЗарегистрируйсяДля просмотра ссылки Войди или Зарегистрируйся
В найденных событиях важными индикаторами будут следующие:
Для просмотра ссылки Войдиили Зарегистрируйся
Поскольку у нас имеется файл $MFT, содержащий в себе записи обо всех папках в системе, в том числе и об удаленных, мы сможем определить путь к дампу NTDS.dit.
Воспользуемся утилитой MFTExplorer от Эрика Циммермана для просмотра $MFT. Очень часто злоумышленники оставляют используемые ими файлы в непримечательных папках: «Загрузки», «Документы», «Изображения». Также можно поискать по словам ntds.dit, backup, dc sync, shadow copy.
В нашем случае NTDS.dit обнаружился в папке «Документы» пользователя Администратор.
Для просмотра ссылки Войдиили Зарегистрируйся
Видно, что, помимо базы данных NTDS, был скопирован еще и куст реестра SYSTEM, хранящий в себе параметры конфигурации как установленных приложений, так и операционной системы. С точки зрения криминалистики кусты реестра имеют достаточно большое значение, поскольку они дают подробную информацию о том, что атака была успешно проведена.
NTDSUTIL — это встроенный инструмент для управления NTDS на серверах Windows, но злоумышленник может использовать ее для получения доступа к этой базе данных. Нам необходимо отслеживать события с идентификаторами 325 и 327 и источником событий ESENT в APPLICATION.evtx. Эти события регистрируются при создании новой базы данных и отсоединении другой соответственно.
Мы также будем искать событие с идентификатором 7036 в SYSTEM.evtx для корреляции с нашими результатами поиска в журналах приложений. Наконец, мы рассмотрим событие с идентификатором 4799 в SECURITY.evtx. Давай начнем с журналов приложений. Просмотрим события с Event ID 325, 327 и источником событий ESENT.
ESENT — это встраиваемый и транзакционный движок СУБД, позволяющий создавать пользовательские приложения, которым требуется надежное высокопроизводительное хранилище данных с минимальными затратами.
Для просмотра ссылки Войдиили Зарегистрируйся
C помощью показанного выше фильтра выведем список всех операций с базой данных, связанных с AD. При просмотре событий с идентификатором 325 важным будет поиск любого необычного пути к файлу с новой созданной копией NTDS.dit, кроме %SystemRoot%\ntds\.
Для просмотра ссылки Войдиили Зарегистрируйся
Сразу после этого события идeт следующее с ID 327, сообщающее о том, что база данных по тому же пути отключена.
Для просмотра ссылки Войдиили Зарегистрируйся
В SYSTEM.evtx в промежутке времени, когда происходили просмотренные нами ранее события, можно заметить запуск двух служб, связанных с Event ID 7036 и с созданием теневой копии тома.
Для просмотра ссылки Войдиили ЗарегистрируйсяДля просмотра ссылки Войди или Зарегистрируйся
Журнал SECURITY.evtx будет интересен событиями с идентификатором 4799, в которых, как в предыдущей лабораторной работе, будут перечисляться локальные группы безопасности, причем этих событий будет множество.
Для просмотра ссылки Войдиили ЗарегистрируйсяДля просмотра ссылки Войди или Зарегистрируйся
На этот раз важными индикаторами событий будут следующие:
Кроме того, стоит принять меры для предотвращения атак с использованием инъекций кода, которые могут привести к утечке учетных данных. Для этого настрой дополнительные параметры безопасности через LSA (Local Security Authority).
info
Эта статья — продолжение материала «Для просмотра ссылки ВойдиNTLM Relay
Windows New Technology LAN Manager (NTLM) — это название набора протоколов Active Directory, обеспечивающих аутентификацию в сети. Для поддержки обратной совместимости NTLM используется преимущественно в системах, не поддерживающих аутентификацию Kerberos.Когда злоумышленник перехватывает сетевой трафик с помощью атаки LLMNR Poisoning, он может также попытаться ретранслировать перехваченное сообщение для аутентификации в той или иной службе от имени жертвы.
Такая продвинутая версия LLMNR-отравления будет называться атакой NTLM Relay, она соотносится с Для просмотра ссылки Войди
Утилита ntlmrelayx из набора Impacket — инструмент, которым чаще всего пользуются для подобных атак.
Reaper
Лабораторная работа Reaper из раздела Sherlocks от Hack The Box поможет на практике разобрать инцидент, связанный с этой атакой.В описании лабораторной рассказывается о подозрительном входе в систему, на который необходимо срочно обратить внимание. Подробности заключаются в том, что IP-адрес и имя исходной рабочей станции не совпадают.
Для определения ретрансляции NTLM в сети понадобятся журналы сетевой телеметрии и аудита входа в систему. Подход к обнаружению NTLM Relay достаточно необычен, поскольку требует сопоставления IP-адресов с именами хостов. В крупных корпоративных средах будет тяжело следить за этим, так как список IP-адресов достаточно большой. Телеметрия сети в таком случае сильно упростит определение скомпрометированного хоста.
Reaper предоставляет дамп сетевого трафика компании, с его помощью можно установить основные конечные точки в виде внутренних IP-адресов.
Просмотрим статистику .pcap-файла, определим внутрикорпоративную сеть и уберем из подозреваемых различные широковещательные адреса и шлюзы (IP-адреса, заканчивающиеся на .1, .2 и .255).
Для просмотра ссылки Войди
Получить имена хостов можно с использованием службы имен NetBios и одноименного фильтра в Wireshark — nbns.
Для просмотра ссылки Войди
Сразу же наблюдаем небольшой список имен хостов:
- FORELA-WKSTN001 для 172.17.79.129.
- FORELA-WKSTN002 для 172.17.79.136.
- Неизвестное устройство для 172.17.79.135.
Для просмотра ссылки Войди
Видно, что пользователь arthur.kyle участвовал в процессе аутентификации с подозрительного IP-адреса. Также можно наблюдать IP-адрес Wkstn002. Судя по трафику, пользователь является учеткой как раз этого хоста, чьи данные и были украдены.
В следующем потоке пакетов можно заметить, что аутентификация учетной записи пользователя arthur.kyle осуществляется с двух разных компьютеров (один — легитимный, второй — MITM).
Проанализируем предоставленный журнал событий безопасности от WKSTN001, предварительно отфильтровав события с идентификатором 4624.
Для просмотра ссылки Войди
Зная из анализа .pcap примерные временные рамки, не составит большого труда найти подходящее событие и изучить его.
Для просмотра ссылки Войди
Отметим несколько индикаторов того, что атака NTLM Relay была проведена успешно:
- идентификатор безопасности: NULL SID;
- LogonGUID имеет значение NULL;
- несовпадение в имени рабочей станции и IP-адресе источника (на исходной рабочей станции указано WKSTN002, а в качестве IP-адреса видим 172.17.79.135);
- процесс входа: NtLmSsp.
Меры предотвращения
По возможности необходимо отключить аутентификацию NTLM и использовать более надежные протоколы, такие как Kerberos. Чтобы исключить перехват аутентификации через NTLM, во всем домене необходимо принудительно использовать подпись SMB. Такая подпись защищает сообщения, передаваемые между клиентом и сервером во время связи NTLM, предотвращая перехват сообщений проверки подлинности.NTDS dumping
Хранилище информации о доменах в службе каталогов Active Directory реализовано в файле NTDS.dit, который расположен по умолчанию в директории %SystemRoot%\ntds\ на контроллере домена. Этот файл содержит важные данные о домене, включая хеши паролей пользователей, что делает его привлекательной целью для атак.Чтобы получить доступ к файлу NTDS.dit, злоумышленнику необходимо обладать административными правами в системе. Если он получит доступ к контроллеру домена, то сможет извлечь файл NTDS.dit вместе с данными из ключа реестра HKEY_LOCAL_MACHINE\SYSTEM, содержащего все необходимые сведения для дешифровки данных NTDS.dit.
Хотя служба Active Directory запрещает доступ к этому файлу во время работы, злоумышленник может воспользоваться службой создания теневых копий томов (Volume Shadow Copy Service, VSS) для создания снимка тома и извлечения файла NTDS.dit из него. Также можно сделать копию с помощью диагностического инструмента NTDSUTIL.exe, доступного в составе Active Directory.
Если злоумышленник имеет набор действительных учетных данных, он может воспользоваться таким инструментом, как CrackMapExec, и удаленно сбросить файл NTDS.dit, а после проанализировать его.
После того как хакер похитит файл NTDS.dit и ключ реестра HKLM\SYSTEM, он сможет проводить дальнейшие атаки без доступа к службе AD. Получив хеши паролей из файла NTDS.dit, злоумышленник может попытаться подобрать пароли офлайн. Если не получится взломать хеши в автономном режиме, он также может использовать их в атаках типа pass-the-hash для дальнейшего продвижения в системе.
Информация о домене из этих файлов может быть проанализирована с использованием утилиты secretsdump, которая входит в состав набора инструментов Impacket.
В MITRE ATT&CK эта атака относится к Для просмотра ссылки Войди
CrownJewel-1
В описании этой лабораторной работы указано, что при сбросе NTDS.dit на контроллере домена была использована служба vssadmin. В таком случае сперва следует обратить внимание на события журнала SYSTEM.evtx. Отфильтруем события с идентификатором 7036, обозначающим смену состояния служб.Мы обнаружим событие запуска Volume Shadow Copy, а в разделе подробностей будет указано точное время начала работы службы, на которое в будущем мы и станем ориентироваться.
Для просмотра ссылки Войди
В журнале безопасности при создании теневой копии тома также отображаются события, в которых VSSVC.exe проверяет права с помощью учетной записи компьютера и перечисляет группы пользователей. Event ID 4799 логирует перечисление участия в защищенных локальных группах.
Такие перечисления будут выполняться большое количество раз за пару секунд, что вполне можно считать подозрительной активностью.
Для просмотра ссылки Войди
В найденных событиях важными индикаторами будут следующие:
- перечисление групп администраторов и операторов резервного копирования (Administrators, Backup Operators);
- имя процесса: VSSVC.exe.
Для просмотра ссылки Войди
Поскольку у нас имеется файл $MFT, содержащий в себе записи обо всех папках в системе, в том числе и об удаленных, мы сможем определить путь к дампу NTDS.dit.
Воспользуемся утилитой MFTExplorer от Эрика Циммермана для просмотра $MFT. Очень часто злоумышленники оставляют используемые ими файлы в непримечательных папках: «Загрузки», «Документы», «Изображения». Также можно поискать по словам ntds.dit, backup, dc sync, shadow copy.
В нашем случае NTDS.dit обнаружился в папке «Документы» пользователя Администратор.
Для просмотра ссылки Войди
Видно, что, помимо базы данных NTDS, был скопирован еще и куст реестра SYSTEM, хранящий в себе параметры конфигурации как установленных приложений, так и операционной системы. С точки зрения криминалистики кусты реестра имеют достаточно большое значение, поскольку они дают подробную информацию о том, что атака была успешно проведена.
CrownJewel-2
В этой лабораторной работе нам предоставлены журналы системы, приложений и безопасности, что позволяет рассмотреть второй вариант проведения атаки Credential Dumping NTDS.dit, основанный на использовании утилиты NTDSUTIL.exe.NTDSUTIL — это встроенный инструмент для управления NTDS на серверах Windows, но злоумышленник может использовать ее для получения доступа к этой базе данных. Нам необходимо отслеживать события с идентификаторами 325 и 327 и источником событий ESENT в APPLICATION.evtx. Эти события регистрируются при создании новой базы данных и отсоединении другой соответственно.
Мы также будем искать событие с идентификатором 7036 в SYSTEM.evtx для корреляции с нашими результатами поиска в журналах приложений. Наконец, мы рассмотрим событие с идентификатором 4799 в SECURITY.evtx. Давай начнем с журналов приложений. Просмотрим события с Event ID 325, 327 и источником событий ESENT.
ESENT — это встраиваемый и транзакционный движок СУБД, позволяющий создавать пользовательские приложения, которым требуется надежное высокопроизводительное хранилище данных с минимальными затратами.
Для просмотра ссылки Войди
C помощью показанного выше фильтра выведем список всех операций с базой данных, связанных с AD. При просмотре событий с идентификатором 325 важным будет поиск любого необычного пути к файлу с новой созданной копией NTDS.dit, кроме %SystemRoot%\ntds\.
Для просмотра ссылки Войди
Сразу после этого события идeт следующее с ID 327, сообщающее о том, что база данных по тому же пути отключена.
Для просмотра ссылки Войди
В SYSTEM.evtx в промежутке времени, когда происходили просмотренные нами ранее события, можно заметить запуск двух служб, связанных с Event ID 7036 и с созданием теневой копии тома.
Для просмотра ссылки Войди
Журнал SECURITY.evtx будет интересен событиями с идентификатором 4799, в которых, как в предыдущей лабораторной работе, будут перечисляться локальные группы безопасности, причем этих событий будет множество.
Для просмотра ссылки Войди
На этот раз важными индикаторами событий будут следующие:
- перечисление групп администраторов и операторов резервного копирования (Administrators, Backup Operators);
- имя процесса: ntdsutil.exe.
Меры предупреждения
Организациям следует предпринять меры для защиты административного доступа к контроллеру домена и отслеживать активность учетных записей администраторов на предмет подозрительных действий. Рассмотри возможность использовать систему управления паролями локальных администраторов (LAPS), которая обеспечивает безопасность доступа.Кроме того, стоит принять меры для предотвращения атак с использованием инъекций кода, которые могут привести к утечке учетных данных. Для этого настрой дополнительные параметры безопасности через LSA (Local Security Authority).