Clever Geek Handbook

Como detectar o movimento de invasores na rede

Em projetos de análise de segurança de sistemas de informação corporativos em 2019, os nossos pentesters conseguiram ultrapassar o perímetro de rede de 93% das empresas . Além disso, a rede de 50% das empresas pôde ser penetrada em apenas uma etapa. Para evitar que atacantes reais atinjam seu objetivo, é importante identificar sua atividade a tempo. Um dos estágios críticos de um ataque é o movimento lateral, quando os invasores expandem sua presença na rede.

Neste artigo, vou mostrar qual atividade está relacionada ao movimento dentro do perímetro e como, usando a análise de rede, para identificar o uso de tais táticas.

O que diz respeito à movimentação dentro do perímetro

Primeiro, vamos examinar vários esquemas que o ajudarão a entender em que estágios o ataque está dividido.

https://github.com/infosecn1nja/Red-Teaming-Toolkit
https://github.com/infosecn1nja/Red-Teaming-Toolkit

O primeiro diagrama ilustra o ciclo de vida das operações de uma equipe vermelha e reflete as ações de um invasor durante um ataque a um sistema de informação:

  1. O invasor realiza reconhecimento externo (Recon)

  2. Compromete o sistema (compromisso inicial)

  3. Tenta manter sua presença neste sistema (Estabelecer Persistência)

  4. Escalar privilégios

  5. Recon interno

  6. Seleciona um transporte conveniente para si mesmo e se conecta à vítima (Movimento lateral)

  7. (Data Analysis)

  8. 4―7 ( )

  9. (Exfiltration and Complete Mission)

Active Directory Kill Chain, , .

 https://github.com/infosecn1nja/AD-Attack-Defense
 https://github.com/infosecn1nja/AD-Attack-Defense

  3.  

  6. 2—5

  8. ,

, .

Matriz ATT e CK para empresas
ATT&CK Matrix for Enterprise

ATT&CK, . MITRE. . , – . . , .

Lateral movement ( ) , , , . DCOM, , . .

. , .

, :

  • ASP .NET, DMZ;

  • devops- agusev, ;

  • gpavlov ;

  • DC Administrator.

agusev gpavlov .

1.

, . devops- agusev, . , .

2. BloodHound DCOM (T1021.003)

BloodHound. , agusev Distributed Component Object Model (DCOM). SharpHound ( BloodHound) AGUSEV. Microsoft Management Console (MMC) 2.0.

DCOM    , . , DCOM. , ( MMC 2.0). .

, , , .

AD BloodHound

BloodHound gpavlovAdm, .

3. RDP- (T1021.001 T1570)

RDP- AGUSEV. RDP- kerbrute (https://github.com/ropnop/kerbrute), gpavlovAdm.

Kerbrute . , . BloodHound, gpavlov. , GPAVLOV gpavlov, gpavlovAdm.

BloodHound

kerbrute. 

4. c smbexec (T1021.002)

, gpavlov ( , ). smbexec Impacket. , , — gpavlovAdm. mimikatz SharpSploit (Github).

SharpSploit PowerSploit. PowerShell, SparpSploit — DLL C# .NET . , .

5.

mimikatz SharpSploit . , ntds.dit. secretsdump Impacket (Github).

. ATT&CK.

Lista de técnicas de ataque

NTA- PT Network Attack Discovery. PT NAD L2—L7, , .

?

, , . , RDP — , , . , DMZ, RDP- . , devops- , .

Painéis PT Network Attack Discovery
PT Network Attack Discovery

, RDP-?

SMB- DCERPC. RPC DCOM- Impacket. lateral movement .

Alerta encontrado ataque usando DCOMExec da Impacket 
DCOMExec Impacket 

— , Impacket. cmd.exe system32 . HTTP-.

- ?

, ; , . «» , — , SPN- Active Directory. , .

Notificação de um ataque LDAP detectado
LDAP

LDAP. , . , , , , , BloodHound. , , Kerberos. 8380 : . PT NAD Kerberos.

Sessões Kerberos
Kerberos

? ?

, gpavlovAdm gpavlov. Kerberos- (KDC) . PT NAD . gpavlovAdm , — . gpavlov , , .

Usando a conta gpavlov para baixar o SharpSploit
gpavlov SharpSploit

? , ?

, . Service Control Manager Impacket, sharpsloit.dll.

Confirmação de download do SharpSploit
SharpSploit

, gpavlovAdm. , — gpavlovAdm. . PT NAD , SCM, , SAM, LSA, SECURITY NTDS. , .

Alertas de despejo de registro de controlador de domínio

lateral movement

, , . :

  • COM-, (, MMC 2.0);

  • ;

  • helpdesk Just Enough Administration;

  • ;

  • System.Management.Automation.dll.

: , PT Expert Security Center (PT ESC)



More articles:


All Articles