Clever Geek Handbook

Comment détecter le mouvement des attaquants sur le réseau

Sur des projets d'analyse de la sécurité des systèmes d'information d'entreprise en 2019, nos pentesters ont réussi à dépasser le périmètre réseau de 93% des entreprises . Dans le même temps, le réseau de 50% des entreprises pourrait être pénétré en une seule étape. Afin d'empêcher de vrais attaquants d'atteindre leur objectif, il est important d'identifier leur activité à temps. L'une des étapes critiques d'une attaque est le mouvement latéral, lorsque les attaquants étendent leur présence sur le réseau.

Dans cet article, je vais vous montrer quelle activité est liée au mouvement dans le périmètre et comment, à l'aide de l'analyse de réseau, identifier l'utilisation de telles tactiques.

Ce qui concerne le déplacement à l'intérieur du périmètre

Tout d'abord, examinons plusieurs schémas qui vous aideront à comprendre en quelles étapes l'attaque est divisée.

https://github.com/infosecn1nja/Red-Teaming-Toolkit
https://github.com/infosecn1nja/Red-Teaming-Toolkit

Le premier diagramme illustre le cycle de vie des opérations d'une équipe rouge et reflète les actions d'un attaquant lors d'une attaque sur un système d'information:

  1. L'attaquant effectue une reconnaissance externe (Recon)

  2. Compromit le système (compromis initial)

  3. Tente de maintenir sa présence sur ce système (établir la persistance)

  4. Augmenter les privilèges

  5. Reconnaissance interne

  6. Choisit un moyen de transport pratique pour lui-même et se connecte à la victime (mouvement latéral)

  7. (Data Analysis)

  8. 4―7 ( )

  9. (Exfiltration and Complete Mission)

Active Directory Kill Chain, , .

 https://github.com/infosecn1nja/AD-Attack-Defense
 https://github.com/infosecn1nja/AD-Attack-Defense

  3.  

  6. 2—5

  8. ,

, .

Matrice ATT & CK pour l'entreprise
ATT&CK Matrix for Enterprise

ATT&CK, . MITRE. . , – . . , .

Lateral movement ( ) , , , . DCOM, , . .

. , .

, :

  • ASP .NET, DMZ;

  • devops- agusev, ;

  • gpavlov ;

  • DC Administrator.

agusev gpavlov .

1.

, . devops- agusev, . , .

2. BloodHound DCOM (T1021.003)

BloodHound. , agusev Distributed Component Object Model (DCOM). SharpHound ( BloodHound) AGUSEV. Microsoft Management Console (MMC) 2.0.

DCOM    , . , DCOM. , ( MMC 2.0). .

, , , .

AD BloodHound

BloodHound gpavlovAdm, .

3. RDP- (T1021.001 T1570)

RDP- AGUSEV. RDP- kerbrute (https://github.com/ropnop/kerbrute), gpavlovAdm.

Kerbrute . , . BloodHound, gpavlov. , GPAVLOV gpavlov, gpavlovAdm.

BloodHound

kerbrute. 

4. c smbexec (T1021.002)

, gpavlov ( , ). smbexec Impacket. , , — gpavlovAdm. mimikatz SharpSploit (Github).

SharpSploit PowerSploit. PowerShell, SparpSploit — DLL C# .NET . , .

5.

mimikatz SharpSploit . , ntds.dit. secretsdump Impacket (Github).

. ATT&CK.

Liste des techniques d'attaque

NTA- PT Network Attack Discovery. PT NAD L2—L7, , .

?

, , . , RDP — , , . , DMZ, RDP- . , devops- , .

Tableaux de bord PT Network Attack Discovery
PT Network Attack Discovery

, RDP-?

SMB- DCERPC. RPC DCOM- Impacket. lateral movement .

L'alerte a dĂ©tectĂ© une attaque utilisant DCOMExec d'Impacket 
DCOMExec Impacket 

— , Impacket. cmd.exe system32 . HTTP-.

- ?

, ; , . «» , — , SPN- Active Directory. , .

Notification d'une attaque LDAP détectée
LDAP

LDAP. , . , , , , , BloodHound. , , Kerberos. 8380 : . PT NAD Kerberos.

Sessions Kerberos
Kerberos

? ?

, gpavlovAdm gpavlov. Kerberos- (KDC) . PT NAD . gpavlovAdm , — . gpavlov , , .

Utilisation du compte gpavlov pour télécharger SharpSploit
gpavlov SharpSploit

? , ?

, . Service Control Manager Impacket, sharpsloit.dll.

Confirmation de téléchargement de SharpSploit
SharpSploit

, gpavlovAdm. , — gpavlovAdm. . PT NAD , SCM, , SAM, LSA, SECURITY NTDS. , .

Alertes de vidage du registre du contrĂ´leur de domaine

lateral movement

, , . :

  • COM-, (, MMC 2.0);

  • ;

  • helpdesk Just Enough Administration;

  • ;

  • System.Management.Automation.dll.

: , PT Expert Security Center (PT ESC)



More articles:


All Articles