.png)
Take Me to Your Domain Controller: Wie sich Angreifer lateral durch Ihre Umgebung bewegen
Dan Gould hat auch zu diesem Beitrag beigetragen.
Im ersten Teil dieser Blogserie haben wir verschiedene Möglichkeiten gesehen, wie ein Bedrohungsakteur die Discovery-Phase des ATT&CK-Frameworks durchführen kann, um sich nach einer Erstinfektion einen Überblick zu verschaffen. Dadurch erhalten sie wichtige Netzwerk- und Domäneninformationen, selbst mit Standard-Domänenrechten. Wir haben auch einige der Komponenten festgestellt, die von einem Domänencontroller verwendet werden und direkt angegriffen oder im Rahmen eines Angriffs genutzt werden können.
Im Folgenden werden wir darauf eingehen, um Beispiele für Angriffe und Tools zu zeigen, die gegen diese Komponenten verwendet werden können, um die nächste Phase eines Angriffs auszuführen: Lateral Movement.
Ausgestattet mit diesen nützlichen Informationen, wie sie im vorherigen Beitrag in der Erkennungsphase gezeigt wurden, kann der Bedrohungsakteur nun selbstbewusst eine laterale Bewegung auf dem Pfad zum Domänencontroller versuchen. Sie benötigen jedoch die erforderlichen Anmeldeinformationen, Zwischenzielsysteme und Komponenteninformationen in Kombination mit den entsprechenden Angriffswerkzeugen, um ihr ultimatives Ziel zu erreichen.
ATT&CK: Laterale Bewegung
Querverschiebungen, insbesondere in einer Windows-Domäne, können auf zwei Ebenen erfolgen. Zunächst die Anwendungsebene, auf der der Angreifer auf Anmeldeinformationen basierende Techniken wie Pass-the-Hash oder Pass-the-Ticket verwenden kann, was wiederum die Netzwerkebene nutzt, auf der er sich auf dem Weg zum endgültigen Ziel, in diesem Fall dem Domain Controller, von Maschine zu Maschine bewegt.
Dies bringt uns zu anmeldeinformationsbasierten Techniken.
Auf Anmeldeinformationen basierende Techniken für die laterale Bewegung
Ehrlich gesagt, sobald die Anmeldeinformationen des Domänenadministrators aufgedeckt wurden, ist der Domänencontroller in der Regel eine Eingabeaufforderung entfernt.
Angreifer versuchen, Anmeldeinformationen zu speichern, die an gängigen Speicherorten zwischengespeichert sind, z. B. LSASS (Local Security Authority Subsystem Service), der zur Authentifizierung von Benutzern, Anmeldungen und Berechtigungen unter Windows verwendet wird. Warum werden Anmeldedaten (gehashte Passwörter/Tickets) im Speicher gespeichert? Beim einmaligen Anmelden ist dies so, dass sich Benutzer nicht ständig neu authentifizieren müssen.
Wenn Angreifer Glück haben, kompromittieren sie ein System, bei dem vergangene Admin-Logins im Speicher verbleiben. Diese Anmeldedaten können mit Mimikatz oder ähnlichen LSASS-Tools zur Speicherprüfung abgerufen werden. Wie Sie bereits wissen, ermöglichen Mimikatz und ähnliche Tools Bedrohungsakteuren, Authentifizierungsdaten wie NTLM-Hashes und Kerberos-Ticketinformationen aus dem Kernel-Speicher eines laufenden Computers zu finden und zu extrahieren, der von LSASS verwendet wird.
Das folgende Beispiel zeigt das Dumping von Anmeldeinformationen mit Mimikatz.
In den meisten Fällen muss es sich bei dem ursprünglich kompromittierten Konto nur um ein lokales Administratorkonto auf dem Windows-Rechner handeln, um Tools wie Mimikatz erfolgreich ausführen zu können. Das bedeutet, dass es über die notwendigen Privilegien verfügt, wie z. B. das Windows-Debug-Privileg, um den Kernel oder den privilegierten Speicher für bestimmte wichtige Windows-Prozesse wie LSASS zu lesen. Wie bereits erwähnt, sind Windows-Domänen stark auf die Funktion des einmaligen Anmeldens angewiesen, um Benutzern und Computern, die Ressourcen in der gesamten Domäne anfordern, eine nahezu nahtlose Erfahrung zu bieten. Um dies zu erleichtern, hat Windows die Möglichkeit verwendet, gehashte Anmeldeinformationen im Speicher und für die älteren Versionen Nur-Text-Passwörter im Speicher zu speichern. Dies ist eine der wichtigsten Methoden, mit denen Tools wie Mimikatz NTLM-Hashes und in einigen Fällen Klartext-Passwörter für Techniken wie Pass-the-Hash- und Pass-the-Ticket-Angriffe abrufen können.
So sieht das Dumpen von Kerberos-Tickets aus dem Speicher aus:
Ein weiteres Tool, das für Angriffe im Zusammenhang mit Kerberos-Tickets verwendet werden kann, ist Rubeus. Es verfügt über Funktionen wie Kerberos-Ticketanforderungen, die ein Ticket-Granting-Ticket (TGT) basierend auf dem Kennwort/Hash eines Benutzers in einer Instanz oder basierend auf dem Zertifikatsspeicher eines Benutzers abrufen. Rubeus kann auch zum Missbrauch der eingeschränkten Delegierung in Windows-Domänen verwendet werden, indem eine eingeschränkte Service-for-User-Delegierung (S4U) innerhalb einer bestimmten Domäne oder sogar domänenübergreifend in einer Gesamtstruktur durchgeführt wird.
Aus dem folgenden Beispiel können wir sehen, dass der Bedrohungsakteur in der Lage ist, Hash-Informationen zu Anmeldeinformationen aus dem Speicher zu speichern und einen bestimmten Kontonamen zu lokalisieren, der als Administratorkonto identifiziert wird. Dieses Konto ist vorhanden, da es sich zu einem bestimmten Zeitpunkt bei diesem Computer angemeldet hätte.
Dieser spezielle Speicherabzug enthält auch Informationen wie den Anmeldeserver in der Domäne. Dies kann mit den Informationen bestätigt werden, die während der Ermittlungsphase gesammelt wurden, um den Zieldomänencontroller zu bestätigen.
Im folgenden Beispiel konnten wir aus dem NTLM-Hash des " itadmin "-Kontos, der zuvor ausgegeben wurde, diesen Hash übergeben, um einen neuen Windows-cmd-Prozess mit dem privilegierten Administratortoken mit erhöhten Administratorrechten zu starten. Das bedeutet, dass der neue cmd-Prozess Aktionen im Kontext eines privilegierten Kontos ausführen kann, auch wenn der tatsächlich angemeldete Benutzer möglicherweise nur lokale Administratorrechte auf dem kompromittierten Rechner hat.
Dieser neue Prozess wird mit dem erhöhten Token von "itadmin" ausgeführt, was bedeutet, dass wir es verwenden können, um andere RAS-Tools auszuführen, die auf den Domänencontroller abzielen und eine Verbindung mit ihm über das Netzwerk herstellen. In der folgenden Abbildung sehen wir, dass nach einem erfolgreichen Pass-the-Hash-Angriff ein sekundäres Tool wie PAexec des Power Admins verwendet werden kann, um den Rest des Angriffs fortzusetzen, indem eine Remoteverbindung mit dem Domänencontroller hergestellt wird. Der Befehl hostname im Image bestätigt die erfolgreiche laterale Verschiebung sowohl auf Anwendungs- als auch auf Netzwerkebene.
Wir können die laufenden Dienste auf dem Domänencontroller-Computer überprüfen, um sicherzustellen, dass PAExec eine Verbindung mit einem entsprechenden Prozess hergestellt hat. Die Pass-the-Hash-Technik, die zum Erzeugen des vom Administrator erhöhten Tokens auf dem kompromittierten Laptop verwendet wurde, der dann zum Ausführen des PAExec-Remoteverwaltungstools verwendet wurde, war erfolgreich, wie in der folgenden Abbildung gezeigt.
Dies ist eine einfache Demonstration dessen, wie Angreifer sich lateral von der Anwendungsebene (Diebstahl von Anmeldeinformationen im Prozessspeicher) zur Netzwerkebene (SMB-, MSRPC- oder HTTP-Maschinendurchquerung) bewegen können, um das ultimative Ziel zu erreichen – den Domänencontroller.
ATT&CK: Auswirkungen
Zu diesem Zeitpunkt, nachdem er den Domänencontroller erreicht hat, hat der Angreifer das Sagen. Sie können weitere schädliche Dateien remote auf den Domänencontroller kopieren. Zum Beispiel könnten sie jetzt Mimikatz auf den Domain-Controller kopieren und ihn verwenden, um den Hash des integrierten KRBTGT-Benutzerkontos – neben anderen Domain-Informationen – zu extrahieren, um den Golden-Ticket-Angriff zu starten. Dies kann dann für Pass-the-Ticket-Angriffe in der gesamten Domain verwendet werden.
Der Angreifer kann sogar die bereits vorhandenen Tools nutzen, um so etwas wie Ransomware einzusetzen und sich mit anderen sensiblen Servern wie Datenbank- oder Anwendungsservern zu verbinden, um Daten weiter zu exfiltrieren. Dies kann PsExec, PowerShell, SCCM sein – jedes IT-Administrationstool, das Software bereitstellen kann.
Abhängig von der Raffinesse des Angriffs kann ein Angreifer alle benutzerdefinierten Tools verwenden oder den Code nur im Speicher ausführen, so dass die Signaturanalyse von Tools wie Mimikatz für Sicherheitstools schwierig zu erkennen und zu verhindern ist. In ähnlicher Weise kann die Verhaltensanalyse auch ressourcenintensiv sein, so dass diese Analysetechniken deaktiviert werden können, insbesondere in Serverumgebungen oder Legacy-Betriebssystemen, auf denen kritische Legacy-Anwendungen ausgeführt werden.
Schalten Sie ein in unseren nächsten Beitrag, in dem es um die Abschwächung dieser Angriffe geht.
