在2019年用于分析公司信息系统安全性的项目中,我们的渗透测试人员设法克服了93%的公司的网络边界。同时,只需一步就可以渗透到50%的公司网络。为了防止真正的攻击者达到目标,及时识别其活动很重要。攻击的关键阶段之一是横向移动,即攻击者扩大网络上的存在时。
在本文中,我将向您展示哪些活动与周边移动有关,以及如何使用网络分析来识别这种战术的使用。
关于周界内的运动
首先,让我们看一下可以帮助您了解攻击分为哪些阶段的几种方案。
red team :
(Recon)
(Initial Compromise)
(Establish Persistence)
(Escalate Privileges)
(Internal Recon)
(Lateral Movement)
(Data Analysis)
4―7 ( )
(Exfiltration and Complete Mission)
Active Directory Kill Chain, , .
2—5
,
, .
ATT&CK, . MITRE. . , – . . , .
Lateral movement ( ) , , , . DCOM, , . .
. , .
, :
ASP .NET, DMZ;
devops- agusev, ;
gpavlov ;
DC Administrator.
agusev gpavlov .
1.
, . devops- agusev, . , .
2. BloodHound DCOM (T1021.003)
BloodHound. , agusev Distributed Component Object Model (DCOM). SharpHound ( BloodHound) AGUSEV. Microsoft Management Console (MMC) 2.0.
DCOM , . , DCOM. , ( MMC 2.0). .
, , , .
AD BloodHound
BloodHound gpavlovAdm, .
3. RDP- (T1021.001 T1570)
RDP- AGUSEV. RDP- kerbrute (https://github.com/ropnop/kerbrute), gpavlovAdm.
Kerbrute . , . BloodHound, gpavlov. , GPAVLOV gpavlov, gpavlovAdm.
BloodHound
kerbrute.
4. c smbexec (T1021.002)
, gpavlov ( , ). smbexec Impacket. , , — gpavlovAdm. mimikatz SharpSploit (Github).
SharpSploit PowerSploit. PowerShell, SparpSploit — DLL C# .NET . , .
5.
mimikatz SharpSploit . , ntds.dit. secretsdump Impacket (Github).
. ATT&CK.
NTA- PT Network Attack Discovery. PT NAD L2—L7, , .
?
, , . , RDP — , , . , DMZ, RDP- . , devops- , .
, RDP-?
SMB- DCERPC. RPC DCOM- Impacket. lateral movement .
— , Impacket. cmd.exe system32 . HTTP-.
- ?
, ; , . «» , — , SPN- Active Directory. , .
LDAP. , . , , , , , BloodHound. , , Kerberos. 8380 : . PT NAD Kerberos.
? ?
, gpavlovAdm gpavlov. Kerberos- (KDC) . PT NAD . gpavlovAdm , — . gpavlov , , .
? , ?
, . Service Control Manager Impacket, sharpsloit.dll.
, gpavlovAdm. , — gpavlovAdm. . PT NAD , SCM, , SAM, LSA, SECURITY NTDS. , .
lateral movement
, , . :
COM-, (, MMC 2.0);
;
helpdesk Just Enough Administration;
;
System.Management.Automation.dll.
: , PT Expert Security Center (PT ESC)