九维团队-蓝队(防御)| 实网攻防演练——域控制器失陷后的紧急处置措施

admin 2022年8月2日12:33:53应急响应评论11 views3974字阅读13分14秒阅读模式

九维团队-蓝队(防御)| 实网攻防演练——域控制器失陷后的紧急处置措施


《史记·淮阴侯列传》中记载:”广武君曰:臣闻智者千虑,必有一失……” 此语说明了一个朴素的道理,即“聪明的人对问题虽然深思熟虑,偶尔也会失误出错”
在网络安全领域有一个深入人心的理念:假定失陷(Assume Breach),过往的经验告诉我们:“没有绝对安全的系统,也没有攻不破的网络,设计良好的安全系统,也不可避免地存在安全漏洞”。
动目录Active Directory)为企业内部的核心身份验证、用户访问控制和安全管控平台,在近几年的国家级实网攻防演练中,活动目录已逐渐成为攻防双方对抗的“主战场”,而活动目录中的“安全大脑”——域控制器(Domain controller,DC)更是攻击方的首要“斩首目标”。
前Google信息安全工程总监、传奇波兰黑客Michal Zalewski在其畅销书《Web之困/The Tangled Web》中总结了三个网络安全实际的解决之道,其中之一是“先做最坏的打算——尽管我们已经尽了最大的努力来避免出现问题,但历史也一再教育我们,还是有可能会出现严重的安全事故。所以要……”

在实网攻防演练中,假定域控制器失陷后,我们该如何进行处置?

本文将对此展开探讨,即域控制器意外失陷后,如何通过技术手段进行紧急处置,阻止攻击队“扩大战果”。本文所探讨的思路和方法不局限于活动目录,同样适用于Unix/Linux、内网等场景。


一、ACC —— 一个简化的攻击模型


ACC(Access + Credentials + Connectivity)模型全称为入口-权利-连通模型,是一个简化的攻击模型,该模型确定了攻击者必须满足三个需求才能实现其目标。如下图1.1 ACC模型所示:


九维团队-蓝队(防御)| 实网攻防演练——域控制器失陷后的紧急处置措施

图1.1 ACC模型


举例来说,假设攻击者的目标是窃取企业的重要数据,而这些数据发布在企业活动目录环境中的多台服务器和终端电脑上。


攻击者如果想要窃取这些重要数据,首先必须通过入口进入目标网络内,入口可能是通过鱼叉式网络钓鱼攻击拿下目标网络内的终端,也可能是通过供应链攻击拿下目标网络内的服务器。


其次,攻击者进入目标网络后,如果要继续访问更多系统,必须拥有权利和连通。权利包括账号、密码、哈希、票据、令牌和通过漏洞利用获取的某种特权等,连通是指能够访问目标的某种通道,比如SMB、RDP、WMI等。


二、活动目录常见横向移动攻击手法


攻击者想要继续访问更多系统,必须拥有权利和连通,下表2.1 活动目录常见横向移动攻击手法列举了攻击者实现其目标的常见横向移动攻击手法。


表2.1 活动目录常见横向移动攻击手法

哈希传递

窃取到的密码哈希用于“哈希传递”攻击,从而在内网进行横向移动,绕过正常的系统访问控制。

票据传递

KRBTGT账户的密码哈希就能伪造Kerberos票据授权票据(TGT),使用票据传递,从而在内网进行横向移动,绕过正常的系统访问控制。

WMI/SMB/AT

1.通过WMI/SMB/AT等方式进行远程命令执行;
2.可以使用“哈希传递”攻击,也可以使用明文密码进行登录验证,一旦完成验证,攻击者就可以在远程系统上执行命令。

远程管理

使用有效账户登录远程连接服务,例如Telnet、SSH、VNC、RDP等。


三、域控制器失陷后的紧急处置措施


域控制器作为活动目录中的“安全大脑”, 负责企业网络的身份验证、用户访问控制和资源访问控制等,一旦失陷,大多数情况下无法将其直接断网。


以下列举了域控制器失陷后的主要处置措施:

- 重置所有用户账号密码(两次)

- 重置所有管理员账号密码

- 重置所有服务账号密码

- 重置KRBTGT账号密码(两次)

- 重置所有机器账号密码

- 重置所有LAPS密码(如果有)

- 重置AdminSDHolders对象权限

- 检查计划任务

- 检查WMI事件过滤器

- 检查自启动

- 检查utilman后门

- 检查打印机驱动

- 检查Active Directory委派权限

- 检查组成员身份

- 检查GPOS和SYSVOL中的登录脚本

- 检查RBCD后门

- 检查失陷账号的msDsConsistencyGuid属性


1、阻止攻击队“扩大战果”


上文我们提到了ACC模型, 该模型确定了攻击者必须满足三个需求才能实现其目标。也提到了攻击者在活动目录环境下的常见横向移动攻击手法,本小节我们将介绍如何通过使用防守方的“杀手锏”RPC Firewall来阻止攻击队“扩大战果”。


1.RPC Firewall简介


RPC Firewall是由大名鼎鼎的前微软Advanced Threat Analytics (ATA)以色列安全团队设计和开源的一款检测和防御无数横向移动技术和其他形式的远程攻击和漏洞轻量级解决方案。


项目地址:https://github.com/zeronetworks/rpcfirewall

*左右滑动查看更多


RPC Firewall能够检测和防御以下攻击:

- 远程计划任务

- 远程服务创建,如PsExec.exe及其变种

- 远程注册表修改

- 远程WMI操作

- 远程DCOM操作

- SharpHound

- PrintNightmare漏洞利用

- ZeroLogon漏洞利用

- PetitPotam漏洞利用

- DCSync攻击

- ……


2.RPC Firewall配置示例


阻止PsExec.exe及其变种:

flt: action:block audit:true uuid: 367ABB81-9844-35F1-AD32-98F038001003

*左右滑动查看更多


阻止PetitPotam攻击:

flt: action:block audit:true uuid: df1941c5-fe89-4e79-bf10-463657acf44dflt: action:block audit:true uuid: c681d488-d850-11d0-8c52-00c04fd90f7e

*左右滑动查看更多


阻止DCSync攻击:

fw: uuid:e3514235-4b06-11d1-ab04-00c04fc2dcd2 opnum:3 action:allow addr:<dc_addr1>fw: uuid:e3514235-4b06-11d1-ab04-00c04fc2dcd2 opnum:3 action:allow addr:<dc_addr2>fw: uuid:e3514235-4b06-11d1-ab04-00c04fc2dcd2 opnum:3 action:blockfw: uuid:e3514235-4b06-11d1-ab04-00c04fc2dcd2 action:allow

*左右滑动查看更多


3. RPC Firewall安装与使用


第一步:

下载RPC Firewall:

下载地址:https://github.com/zeronetworks/rpcfirewall

*左右滑动查看更多


第二步:

安装RPC Firewall:

RpcFwManager.exe /install fw


第三步:

复制RPC Firewall目录下的文件:

RpcFw.conf.BothRpcFw.conf

第四步:

启动RPC Firewall:

RpcFwManager.exe /start fw


效果如下图3.1 RPC Firewall阻止横向移动攻击所示:

九维团队-蓝队(防御)| 实网攻防演练——域控制器失陷后的紧急处置措施

图3.1 RPC Firewall阻止横向移动攻击


小结


本文首先通过引入 ACC(Access + Credentials + Connectivity)入口-权利-连通模型,帮助读者朋友建立必要的理论基础,紧接着分析攻击者在活动目录环境下常用的攻击手法,最后概述了域控制器失陷后的紧急处置措施以及防守方如何通过“杀手锏”RPC Firewall来阻止攻击队“扩大战果”。


限于篇幅,本文没有讲述RPC Firewall的工作原理,详细介绍请自行查阅推荐参考资料。

推荐参考资料:https://github.com/zeronetworks/rpcfirewallhttps://zeronetworks.com/blog/the-ransomware-kill-switch-becomes-even-more-deadly-the-rpc-firewall-2-0-released/https://github.com/jsecurity101/MSRPC-to-ATTACKhttps://www.tiraniddo.dev/2021/08/how-windows-firewall-rpc-filter-works.htmlhttps://www.akamai.com/blog/security/guide-rpc-filter

*左右滑动查看更多


由于笔者知识和经验有限,如有不足之处,请各位安全同行批评指正。


往期相关内容推荐阅读:

使用MITRE Shield实现Active Directory积极防御 

Active Directory 威胁狩猎实践连载 - 异常登录行为








 
安恒信息Active Directory

整体安全解决方案
 

九维团队-蓝队(防御)| 实网攻防演练——域控制器失陷后的紧急处置措施


安恒信息Active Directory整体安全解决方案,是基于安恒信息从业十余年的威胁情报、入侵对抗和实网渗透专家团队的丰富经验,同时结合了安全业界的知识与经验,创造性地提出了网络安全行业内较为完整的Active Directory安全解决方案,旨在帮助企业建立应对高级威胁的安全能力。
 
Active Directory防御加固措施示例:
 

九维团队-蓝队(防御)| 实网攻防演练——域控制器失陷后的紧急处置措施


Active Directory威胁狩猎:


九维团队-蓝队(防御)| 实网攻防演练——域控制器失陷后的紧急处置措施





—  往期回顾  —

九维团队-蓝队(防御)| 实网攻防演练——域控制器失陷后的紧急处置措施
九维团队-蓝队(防御)| 实网攻防演练——域控制器失陷后的紧急处置措施
九维团队-蓝队(防御)| 实网攻防演练——域控制器失陷后的紧急处置措施
九维团队-蓝队(防御)| 实网攻防演练——域控制器失陷后的紧急处置措施
九维团队-蓝队(防御)| 实网攻防演练——域控制器失陷后的紧急处置措施



关于安恒信息安全服务团队
安恒信息安全服务团队由九维安全能力专家构成,其职责分别为:红队持续突破、橙队擅于赋能、黄队致力建设、绿队跟踪改进、青队快速处置、蓝队实时防御,紫队不断优化、暗队专注情报和研究、白队运营管理,以体系化的安全人才及技术为客户赋能。

九维团队-蓝队(防御)| 实网攻防演练——域控制器失陷后的紧急处置措施


九维团队-蓝队(防御)| 实网攻防演练——域控制器失陷后的紧急处置措施

九维团队-蓝队(防御)| 实网攻防演练——域控制器失陷后的紧急处置措施

原文始发于微信公众号(安恒信息安全服务):九维团队-蓝队(防御)| 实网攻防演练——域控制器失陷后的紧急处置措施

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月2日12:33:53
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  九维团队-蓝队(防御)| 实网攻防演练——域控制器失陷后的紧急处置措施 http://cn-sec.com/archives/1214841.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: