Testy penetracyjne środowiska Active Directory i infrastruktury opartej na systemie Windows Jastrzębie-Zdrój

Cyberprzestępczość to obecnie wielki biznes i wielka polityka. Zaangażowane podmioty nieustannie dążą do doskonalenia technik ataków. Cyberprzestępcy dysponują własną metodologią, narzędziami i wykwalifikowanym personelem. Aby obronić się przed nimi, musisz zrozumieć, w jaki sposób atakują, a potem dobrze poznać ich taktyki i techniki. W trakcie lektury tej książki przygotujesz własne laboratorium, a następnie przeanalizujesz każdy etap zabójczego łańcucha ataków i zastosujesz nową wiedzę w praktyce. Dowiesz się, jak ominąć wbudowane mechanizmy bezpieczeństwa, między innymi AMSI, AppLocker i Sysmon, przeprowadzać działania rozpoznawcze i wykrywające w środowisku domeny, a także zbierać dane uwierzytelniające w całej domenie. Przeczytasz również, jak poruszać się ruchem bocznym, aby wtopić się w ruch środowiska i pozostać niewykrytym przez radary obrońców, a ponadto jak eskalować uprawnienia wewnątrz domeny i w całym lesie domen czy osiągać stan przetrwania na poziomie domeny i w kontrolerze domeny. W efekcie nauczysz się przeprowadzać ocenę bezpieczeństwa różnych produktów i usług Microsoftu, takich jak Exchange Server, SQL Server i SCCM. Ciekawsze zagadnienia: techniki atakowania usług: Active Directory, Exchange Server, WSUS, SCCM, AD CS i SQL Server skuteczne unikanie wykrycia w środowisku ofensywne bezpieczeństwo operacyjne (OpSec) sposoby naprawy błędnych konfiguracji przygotowanie rzeczywistych scenariuszy Testuj granice odporności swojej infrastruktury! Spis treści: O autorze O recenzentach Przedmowa Rozdział 1. Przygotowanie laboratorium i atak na serwer Microsoft Exchange Wymagania techniczne Architektura i wdrożenie laboratorium Zabójczy łańcuch usługi Active Directory Dlaczego nie zajmiemy się dostępem początkowym i tematami związanymi z hostami? Atakowanie serwera Exchange Enumeracja użytkowników i rozsiewanie haseł Zrzut danych i eksfiltracja Eksploity Zero2Hero Zdobywanie przyczółka Podsumowanie Więcej informacji Rozdział 2. Unikanie obrony Wymagania techniczne Interfejs AMSI, tryb PowerShell CLM i blokada AppLocker Interfejs skanowania antymalware Sposób 1 - wymuszanie błędów Sposób 2 - zaciemnianie kodu Sposób 3 - patchowanie pamięci AppLocker i PowerShell CLM Ulepszone rejestrowanie powłoki PowerShell i Sysmon Usługa śledzenia zdarzeń dla systemu Windows (ETW) Podsumowanie Bibliografia Więcej informacji Rozdział 3. Rekonesans i odkrywanie domen Wymagania techniczne Enumeracja przy użyciu wbudowanych funkcjonalności Polecenie cmdlet PowerShell WMI net.exe Protokół LDAP Narzędzia stosowane przy enumeracji SharpView/PowerView BloodHound Enumeracja usług i polowanie na użytkowników SPN Serwer plików Polowanie na użytkownika Unikanie wykrywania enumeracji Microsoft ATA Tokeny-przynęty Podsumowanie Bibliografia Więcej informacji Rozdział 4. Dostęp do poświadczeń w domenie Wymagania techniczne Poświadczenia w postaci czystego tekstu w domenie Sposoby stare, ale wciąż warte wypróbowania Hasło w polu opisu Rozsiewanie haseł Przechwytywanie hasha Wymuszone uwierzytelnianie Użycie do ataków protokołu MS-RPRN (eksploit PrinterBug) Użycie do ataków protokołu MS-EFSR (PetitPotam) Użycie do ataków protokołu WebDAV Użycie do ataków protokołu MS-FSRVP (ShadowCoerce) Użycie do ataków protokołu MS-DFSNM (DFSCoerce) Atak roasting na protokół Kerberos Kerberos 101 Atak ASREQRoast Atak roasting KRB_AS_REP (ASREPRoast) Atak Kerberoasting Automatyczne zarządzanie hasłami w domenie LAPS gMSA Hasła zamaskowane NTDS Atak DCSync Zrzucanie danych uwierzytelniających użytkownika w postaci czystego tekstu przez DPAPI Podsumowanie Bibliografia Więcej informacji Rozdział 5. Ruch boczny w obrębie domeny i pomiędzy lasami domen Wymagania techniczne Wykorzystanie protokołów administracyjnych w domenie PSRemoting i JEA Protokół RDP Inne protokoły z klasami Impacket Przekazywanie hasha Atak pass-the-whatever Atak pass-the-hash Ataki pass-the-key i overpass-the-hash Atak pass-the-ticket Delegowanie protokołu Kerberos Delegowanie nieograniczone Ograniczone delegowanie oparte na zasobach Delegowanie ograniczone Atak Bronze Bit alias CVE-2020-17049 Wykorzystywanie przy atakach relacji zaufania do wykonywania ruchu bocznego Podsumowanie Bibliografia Więcej informacji Rozdział 6. Eskalacja przywilejów w domenie Wymagania techniczne Eksploity Zero2Hero Podatność MS14-068 Podatność Zerologon (CVE-2020-1472) Podatność PrintNightmare (CVE-2021-1675 & CVE-2021-34527) Spoofing sAMAccountName i noPac (CVE-2021-42278/CVE-2021-42287) Podatność RemotePotato0 Wykorzystywanie do ataków list ACL Grupa Komputer Użytkownik Atak DCSync Naruszanie bezpieczeństwa zasad grupy Pozostałe wektory eskalacji przywilejów Wbudowane grupy bezpieczeństwa Wykorzystanie do ataków grupy DNSAdmins (CVE-2021-40469) Eskalacja domeny podrzędnej/potomnej Zarządzanie dostępem uprzywilejowanym Podsumowanie Bibliografia Więcej informacji Rozdział 7. Przetrwanie na poziomie domeny Wymagania techniczne Przetrwanie na poziomie domeny Sfałszowane bilety Manipulacje listami ACL i atrybutami obiektu domeny Atak DCShadow Atak Golden gMSA Przetrwanie na poziomie kontrolera domeny Atak typu Skeleton Key Złośliwy dostawca usług wsparcia w zakresie zabezpieczeń (SSP) Konto DSRM Zmiana deskryptora zabezpieczeń Podsumowanie Bibliografia Rozdział 8. Używanie do ataków usług certyfikatów w Active Director Wymagania techniczne Teoria infrastruktury klucza publicznego Kradzież certyfikatów Kradzież THEFT1 - eksportowanie certyfikatów przy użyciu interfejsu CryptoAPI Kradzież THEFT2 - kradzież certyfikatu użytkownika poprzez DPAPI Kradzież THEFT3 - kradzież certyfikatu maszyny za pośrednictwem DPAPI Kradzież THEFT4 - zbieranie plików certyfikatów Kradzież THEFT5 - kradzież danych uwierzytelniających NTLM poprzez mechanizm PKINIT (nPAC-the-hash) Przetrwanie na poziomie konta Przetrwanie PERSIST1 - kradzież danych uwierzytelniających aktywnych użytkowników za pośrednictwem certyfikatów Przetrwanie PERSIST2 - przetrwanie na poziomie maszyny za pomocą certyfikatów Przetrwanie PERSIST3 - przetrwanie na poziomie konta poprzez odnowienie certyfikatu Poświadczenia-cienie (Shadow Credentials) Eskalacja przywilejów domeny Podatność Certifried (CVE-2022-26923) Błędne konfiguracje szablonów i rozszerzeń Niewłaściwa kontrola dostępu Błędna konfiguracja urzędu certyfikacji (CA) Ataki przekaźnikowe Przetrwanie na poziomie domeny Przetrwanie DPERSIST1 - fałszowanie certyfikatów przy użyciu skradzionego certyfikatu urzędu certyfikacji (CA) Przetrwanie DPERSIST2 - ufanie fałszywym certyfikatom wystawionym przez urzędy certyfikacji Przetrwanie DPERSIST3 - złośliwa błędna konfiguracja Podsumowanie Bibliografia Rozdział 9. Naruszanie zabezpieczeń serwera Microsoft SQL Wymagania techniczne Wprowadzenie, odkrywanie i enumeracja Wprowadzenie do serwera SQL Odkrywanie Brute force Enumeracja bazy danych Eskalacja przywilejów Podszywanie się pod innego użytkownika Błędna konfiguracja właściwości TRUSTWORTHY Wstrzykiwanie ścieżki UNC Z konta usługi na konto systemowe (SYSTEM) Od administratora lokalnego do administratora systemu Wykonywanie poleceń systemu operacyjnego Procedura składowana xp_cmdshell Niestandardowa rozszerzona procedura składowana Niestandardowe zestawy CLR Procedury automatyzacji OLE Zadania wykonywane przez agenta zadań Skrypty zewnętrzne Ruch boczny Konta usług współdzielonych Łącza do baz danych Przetrwanie Automatyczne uruchamianie plików i rejestru Startowe procedury składowane Złośliwe wyzwalacze Podsumowanie Więcej informacji Rozdział 10. Przejmowanie usługi WSUS i menedżera SCCM Wymagania techniczne Wykorzystywanie do ataków usługi WSUS Wprowadzenie do menedżera MECM/SCCM Wdrożenie Rozpoznanie Eskalacja przywilejów Wymuszenie client push przy uwierzytelnianiu Pozyskiwanie (harvesting) poświadczeń Ruch boczny Atak przekaźnikowy typu client push przy uwierzytelnianiu Przejęcie struktury fizycznej Wykorzystywanie do ataków serwera Microsoft SQL Wdrażanie aplikacji Zalecenia obronne Podsumowanie Bibliografia Więcej informacji Skorowidz O autorze: Denis Isakov specjalizuje się w ofensywnym bezpieczeństwie systemów IT ze szczególnym uwzględnieniem środowiska usługi katalogowej Active Directory i analiz złośliwego oprogramowania. Pracował dla wielu firm z różnych branż. Uzyskał szereg certyfikatów branżowych, od OSCP po GXPN.