分析:保护钥匙给王国–Attivo Networks Adassessor.

而微软的疗效’S Active Directory作为安全机制可能是值得简言的,另外两点不是。 MS AD(Active Directory)非常广泛使用–90%估计值–如果受到妥协在整个企业中提供几乎无限的访问,通常具有完整的匿名。鉴于过去几年几乎所有重大妥协都有解决广告,检测和保护目标广告的攻击的组成部分– or should be – job-1.

在我大学教学的大多数教学中,我告诉我的学生,“如果你不,你就无法得到正确的答案’知道合适的问题。”保护广告是一个完美的例子。如果没有与Active Directory相关的风险知识,您就无法应用全面的对策。可悲的是,任何一个地方都没有提供那种智能,有时候,根本无法使用。那’s在哪里ATTIVO网络’新的Adassessor工具进入图片。在我们到达工具之前,让’S探讨了一些当前攻击最近一直在新闻中的问题。

几个广告攻击示例非常难以检测

这个问题很简单。检测和解决方案不是。基本问题是手动在大型企业中手动验证每个用户是不方便的,因此我们创建了Active Directory林,通过代理来为我们进行。这“proxy”在这种情况下,是替代用户的Kerberos票证’逐个资源的直接登录和身份验证。针对广告的攻击可能是所谓的供应链攻击的一部分,这意味着通过损害一个系统,可以访问多个连接系统并且可能攻击。

传统上–并且仍然在很大程度上–Kerberos是首选的身份验证工具。一旦合法用户正确注册,他或她所要做的就是登录(SSO)申请的单一标志。然后,应用程序将向Kerberos服务器发送请求,然后发出问题“票式票”(TGT)返回到用户登录的地步。票证已解决’s身份,权限,允许的资源和允许的安全级别。如果允许用户登录请求的资源并被正确地通过kerberos服务器验证,则授予票证将授予登录资源的票证。如果没有,请登录将被拒绝。

攻击票证票据并欺骗它(它’S真的比现在更复杂了,但现在它将服务)允许攻击者成为企业的任何用户或资源。这被称为a“golden ticket attack”. The “spoofing”当用于签署TGT的密钥受到泄露时发生。所以,它不是欺骗的机票(票锻攻击),而是,而是一个关键分配攻击。

金票攻击的第一步是损害域控制器。目标是窃取Kerberos密钥分发账户的NTLM哈希。使用Mimikatz Hacking工具可以推出金票攻击,以获得授予票证的票。这使攻击者访问域控制器作为域管理员,允许跨域域中的不受约束的横向移动。一旦哈希被盗并且获得了金票票,攻击几乎无法察觉。

收获广告帐户凭据的另一种方法是Kerberoasting攻击。同样,这是一个剥离后攻击,可以由任何用户帐户执行。攻击者在网络内部请求从授予服务的票证的Kerberos服务机票,并从内存中捕获票证。攻击者提供票据授予票证–使用受妥协的用户帐户–请求身份验证。一旦攻击者拥有服务票证,他或她从内存中提取它并脱离线。

另一种变得非常受攻击者的工具是血迹,这是一种说明目标广告系统中的关系的工具。 Adassessor检测到血迹发现的故障。有一套相当完整的广告漏洞– with bloodhound –包括GitHub上的一些代码和用户指南。这为广告漏洞提供了良好的教育,并将帮助您更有效地使用Adassessor。

图1 – Bloodhound[1]

这些只是两个例子–Kerberos金票和Kerberoasting–adassessor检测到。现在到了产品。

为什么adassessor?

检测到广告攻击的挑战之一是存在许多潜在的漏洞,后门等,并且我没有知道全部解决它们的单个工具。有些不太复杂,标准漏洞扫描可以揭示允许攻击的孔。但是,成功的广告攻击是复杂的,并且检测工具中的一定程度的复杂性是必须的。 Adassessor手上遇到该标准。

AdAssessor解决了基于卫生的检测和实时检测。实时检测包括如大量帐户攻击,密码攻击,域控制器上的服务创建,DCShadow攻击和骨架密钥评估等重要检测。

基于卫生的攻击解决了最佳实践,基于域的检测,基于用户的检测和基于计算机的检测。 All-in-all,Adassessor可以通过70多个广告曝光方式解决。与其他广告仪的并排比较明确建立了adassessor在它检测到的问题中明显更全面。然而,该工具不仅检测到这些漏洞,它给出了建议关闭它们的方法,并识别用于损害广告的可能的黑客工具。

工具’基本上,S UI从根本上组织成两个视图:仪表板和曝光。从两个视图中,您可以钻取更多信息。例如,图2显示了前四个曝光的曝光视图:从域共享,危险访问权限委托对关键对象的凭证收集,adminsdholder acl的未经特权用户(注意上面的示例)和具有复制权限(dcsync)的异常帐户。

图2.–Adassessor部分曝光菜单

每次曝光都有一个详细描述,只需单击“从曝光”菜单中只需单击即可访问。图3显示了具有复制权限的异常帐户的描述。请注意可用细节的级别,包括缓解步骤,已知的攻击工具和帮助理解曝光的引用。这种细节水平及其非常简单的可访问性是此工具的最佳外出功能。获得系统的智慧’如果没有了解问题,其细节和解决方案,漏洞并不有多使用。

图3.–具有复制权限的异常帐户的曝光详细信息

但有更多的详细信息,可直接导致解决问题的修复。图4显示了从域共享凭据收集的特定检测详细信息。请注意,这是从一般到特定的直观故障拍摄的例子:

接触—>暴露细节—>检测项目

图4.–具体检测细节

因此,我们可以看到这里的大优势不仅是工具在广告世界中识别漏洞的深度,而且在修复中辅导,它还会检测到使用Active Directory的文件和追踪威胁“live off the land”。这些脆弱性和攻击很难检测,因此难以修复。此外,随着我​​们在此分析开始时攻击的示例中显示,Adassessor能够检测到否则难以检测的漏洞。

识别广告漏洞的典型方式是使用诸如Mimikatz和Bloodhound等红色团队工具的广告测试。这是一个最佳和最糟糕的策略–当笔测试仪不是非常熟练的时候–主要是错过。另一种可能性是使用标准广告评估工具,这不足以一般看广告环境,往往无法判断广告是否受到损害,并没有对整理的洞察力进行补救。

最后,可以使用AD审核评估工具的集合来解决广告环境的部分。这些是耗时的使用,可能不够全面。当然,你可以期待错过一些重要的东西。全面包裹不像adassessor那样完整,也没有展览adassessor’深度和可用性。

观点

从开口仪表板(见图5)到深度分析,Adassessor完全填写了账单。我通常是漏洞的漏洞工具,这些工具有一套他们被限制的脆弱性。但是,这一个经常更新–由于它是基于云的–如此均匀地,我根本不认为这是一个问题,我几乎不会认为这是一个限制。您可以依靠完全当前的工具,包括零天(或更新)。

图5.– Opening Dashboard

打开仪表板不仅给出了预期的广告健康状态的概述,它直接导致钻取附加信息(例如,曝光钻探)。细节水平与非常高的综合测试和这个工具一致,本身可能是您的唯一广告评估工具’需要。您可以随时完整地查看广告状态,并及时致力于修复。

强烈推荐。

P. R. Stephenson,PHD,CISSP(RET)
未来激烈的出版商
独家在网络防御杂志上

[1]截图由MCP Mag提供– //mcpmag.com/articles/2019/11/13/bloodhound-active-directory-domain-admin.aspx

全球infosec奖项2021

我们在第9年,这些奖项非常受欢迎 - 帮助建立嗡嗡声,客户意识,销售和营销增长机会,投资机会等等。

现在申请