一、ACC —— 一个简化的攻击模型
ACC(Access + Credentials + Connectivity)模型全称为入口-权利-连通模型,是一个简化的攻击模型,该模型确定了攻击者必须满足三个需求才能实现其目标。如下图1.1 ACC模型所示:
|
|
图1.1 ACC模型
举例来说,假设攻击者的目标是窃取企业的重要数据,而这些数据发布在企业活动目录环境中的多台服务器和终端电脑上。
攻击者如果想要窃取这些重要数据,首先必须通过入口进入目标网络内,入口可能是通过鱼叉式网络钓鱼攻击拿下目标网络内的终端,也可能是通过供应链攻击拿下目标网络内的服务器。
其次,攻击者进入目标网络后,如果要继续访问更多系统,必须拥有权利和连通。权利包括账号、密码、哈希、票据、令牌和通过漏洞利用获取的某种特权等,连通是指能够访问目标的某种通道,比如SMB、RDP、WMI等。
二、活动目录常见横向移动攻击手法
攻击者想要继续访问更多系统,必须拥有权利和连通,下表2.1 活动目录常见横向移动攻击手法列举了攻击者实现其目标的常见横向移动攻击手法。
表2.1 活动目录常见横向移动攻击手法
|
哈希传递 |
窃取到的密码哈希用于“哈希传递”攻击,从而在内网进行横向移动,绕过正常的系统访问控制。 |
|
票据传递 |
KRBTGT账户的密码哈希就能伪造Kerberos票据授权票据(TGT),使用票据传递,从而在内网进行横向移动,绕过正常的系统访问控制。 |
|
WMI/SMB/AT |
1.通过WMI/SMB/AT等方式进行远程命令执行; |
|
远程管理 |
使用有效账户登录远程连接服务,例如Telnet、SSH、VNC、RDP等。 |
三、域控制器失陷后的紧急处置措施
域控制器作为活动目录中的“安全大脑”, 负责企业网络的身份验证、用户访问控制和资源访问控制等,一旦失陷,大多数情况下无法将其直接断网。
以下列举了域控制器失陷后的主要处置措施:
- 重置所有用户账号密码(两次)
- 重置所有管理员账号密码
- 重置所有服务账号密码
- 重置KRBTGT账号密码(两次)
- 重置所有机器账号密码
- 重置所有LAPS密码(如果有)
- 重置AdminSDHolders对象权限
- 检查计划任务
- 检查WMI事件过滤器
- 检查自启动
- 检查utilman后门
- 检查打印机驱动
- 检查Active Directory委派权限
- 检查组成员身份
- 检查GPOS和SYSVOL中的登录脚本
- 检查RBCD后门
- 检查失陷账号的msDsConsistencyGuid属性
1、阻止攻击队“扩大战果”
上文我们提到了ACC模型, 该模型确定了攻击者必须满足三个需求才能实现其目标。也提到了攻击者在活动目录环境下的常见横向移动攻击手法,本小节我们将介绍如何通过使用防守方的“杀手锏”RPC Firewall来阻止攻击队“扩大战果”。
1.RPC Firewall简介
RPC Firewall是由大名鼎鼎的前微软Advanced Threat Analytics (ATA)以色列安全团队设计和开源的一款检测和防御无数横向移动技术和其他形式的远程攻击和漏洞轻量级解决方案。
项目地址:https://github.com/zeronetworks/rpcfirewall
*左右滑动查看更多
RPC Firewall能够检测和防御以下攻击:
- 远程计划任务
- 远程服务创建,如PsExec.exe及其变种
- 远程注册表修改
- 远程WMI操作
- 远程DCOM操作
- SharpHound
- PrintNightmare漏洞利用
- ZeroLogon漏洞利用
- PetitPotam漏洞利用
- DCSync攻击
- ……
2.RPC Firewall配置示例
阻止PsExec.exe及其变种:
flt: action:block audit:true uuid: 367ABB81-9844-35F1-AD32-98F038001003*左右滑动查看更多
阻止PetitPotam攻击:
flt: action:block audit:true uuid: df1941c5-fe89-4e79-bf10-463657acf44dflt: action:block audit:true uuid: c681d488-d850-11d0-8c52-00c04fd90f7e
*左右滑动查看更多
阻止DCSync攻击:
fw: uuid:e3514235-4b06-11d1-ab04-00c04fc2dcd2 opnum:3 action:allow addr:<dc_addr1>fw: uuid:e3514235-4b06-11d1-ab04-00c04fc2dcd2 opnum:3 action:allow addr:<dc_addr2>fw: uuid:e3514235-4b06-11d1-ab04-00c04fc2dcd2 opnum:3 action:blockfw: uuid:e3514235-4b06-11d1-ab04-00c04fc2dcd2 action:allow
*左右滑动查看更多
3. RPC Firewall安装与使用
第一步:
下载RPC Firewall:
下载地址:https://github.com/zeronetworks/rpcfirewall*左右滑动查看更多
第二步:
安装RPC Firewall:
RpcFwManager.exe /install fw第三步:
复制RPC Firewall目录下的文件:
RpcFw.conf.Both为RpcFw.conf
第四步:
启动RPC Firewall:
RpcFwManager.exe /start fw效果如下图3.1 RPC Firewall阻止横向移动攻击所示:
图3.1 RPC Firewall阻止横向移动攻击
小结
本文首先通过引入 ACC(Access + Credentials + Connectivity)入口-权利-连通模型,帮助读者朋友建立必要的理论基础,紧接着分析攻击者在活动目录环境下常用的攻击手法,最后概述了域控制器失陷后的紧急处置措施以及防守方如何通过“杀手锏”RPC Firewall来阻止攻击队“扩大战果”。
限于篇幅,本文没有讲述RPC Firewall的工作原理,详细介绍请自行查阅推荐参考资料。
推荐参考资料:https://github.com/zeronetworks/rpcfirewallhttps://zeronetworks.com/blog/the-ransomware-kill-switch-becomes-even-more-deadly-the-rpc-firewall-2-0-released/https://github.com/jsecurity101/MSRPC-to-ATTACKhttps://www.tiraniddo.dev/2021/08/how-windows-firewall-rpc-filter-works.htmlhttps://www.akamai.com/blog/security/guide-rpc-filter
*左右滑动查看更多
由于笔者知识和经验有限,如有不足之处,请各位安全同行批评指正。
往期相关内容推荐阅读:
使用MITRE Shield实现Active Directory积极防御
Active Directory 威胁狩猎实践连载 - 异常登录行为
安恒信息Active Directory
整体安全解决方案
安恒信息Active Directory整体安全解决方案,是基于安恒信息从业十余年的威胁情报、入侵对抗和实网渗透专家团队的丰富经验,同时结合了安全业界的知识与经验,创造性地提出了网络安全行业内较为完整的Active Directory安全解决方案,旨在帮助企业建立应对高级威胁的安全能力。
Active Directory防御加固措施示例:
Active Directory威胁狩猎:
原文始发于微信公众号(安恒信息安全服务):九维团队-蓝队(防御)| 实网攻防演练——域控制器失陷后的紧急处置措施
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论