<aside> <img src="/icons/home_lightgray.svg" alt="/icons/home_lightgray.svg" width="40px" /> HOME

Forensic Tools

Penetration Tools

Vulnerabilities & CVE

BB & Other

CFT

Blog & Books (KNiggas)

About(CV)

</aside>

<aside> <img src="/icons/list-indent_blue.svg" alt="/icons/list-indent_blue.svg" width="40px" /> Table of Contents

</aside>

Info

Для создания УЗ требуется зайти на контроллер домена под УЗ, которая является членом группы “Domain Administrators”, после чего открыть консоль “Active Directory Users and Computers”. С целью минимизации количества непроизвольных обращений к данной УЗ рекомендуется создать её в OU, которая не находится на первом уровне дерева объектов домена (чем больше уровень вложенности OU, тем лучше). Требуется перейти к выбранному OU, нажать правой кнопкой мыши и выбрать пункты “New”, затем “Users”. Назвать данную УЗ можно как любую другую пользовательскую, например – i.ivanov, в соответствии с установленными в компании правилами именования объектов AD:

1. Создание подложной пользовательской УЗ с отключенной Kerberos пре-аутентификацией.

• Атака на механизм Group Policy Preferences – в рамках данной атаки атакующий пытается получить в своё распоряжение пароль учётной записи, содержащийся в файлах групповой политики в каталоге SYSVOL контроллера домена, «защищённый» с использование симметричного шифрования на заведомо известном ключе (содержащемся в документации Microsoft).
• AS-REP Roasting – данная атака во много похожа на описанную в предыдущем пункте. В рамках неё атакующий запрашивает TGT билеты Kerberos для учётных записей пользователей, у которых отключена Kerberos пре-аутентификация, а далее использует запрошенные билеты для offline-атаки методом грубой силы. В случае успешной атаки в распоряжении атакующего оказывается NTLM-хеш соответствующей учётной записи, который даёт атакующему возможность действовать от имени данной учётной записи (получать доступ к любым ресурсам, к которым у данной учётной записи есть доступ);
• Kerberoasting – в рамках данной атаки атакующий запрашивает большое количество сервисных билетов Kerberos (TGS) для определённых доменных учётных записей и использует в последующем запрошенные билеты для offline-атаки методом грубой силы. В случае успешной атаки в распоряжении атакующего оказывается NTLM-хеш сервисной учётной записи, который даёт атакующему неограниченный доступ к соответствующему сервису (например, сервер баз данных MS SQL);
• изучение состава доменных групп, списков контроля доступа доменных объектов, привилегий пользователей в отношении доменных объектов, а также хостов, являющихся членами домена (например, с использованием широко распространённого среди злоумышленников и специалистов по анализу защищённости инструмента Bloodhound);

В настоящей инструкции представлено описание настроек контроллеров домена, в рамках которых осуществляется создание подложных объектов-ловушек и последующая настройка аудита в отношении данных объектов. Соответствующие настройки позволяют на ранних этапах выявлять действия атакующего, оказавшегося внутри защищаемого периметра, направленные на получение сведений об инфраструктуре Active Directory, либо же являющиеся первичными шагами в техниках атак, направленных на попытки повышения привилегий в домене, или компрометацию учётных записей пользователей. Так, данные настройки позволят выявлять в рамках мониторинга следующие техники атакующих:

После нажатия Next рекомендуется выбрать атрибуты, как на скриншоте ниже, а также установить стойкий пароль, исключающий возможность его перебора методом грубой силы. Также требуется установить атрибут Password never expires”

Далее нужно перейти в свойства созданной учетной записи и выбрать раздел “Account”. В окне “Account options” требуется включить значение “Do not require Kerberos preauthentication”, после чего нажать “Apply” для применения настроек. (скриншот ниже)

Данную учетную запись рекомендуется добавить в группу, рекомендации по созданию которой описаны в пункте 2 настоящей инструкции:

Далее требуется включить расширенные возможности, как указано на следующем скриншоте:

В свойствах созданной группы появится раздел Security, в котором требуется перейти к расширенной настройке, нажав кнопку “Advanced”:

В данной разделе производится переход на вкладку “Auditing” и нажатие кнопки “Add”. В появившемся окне вбивается значение Everyone и нажимается кнопка “OK”.

После этого в параметре “Principal” появится значение Everyone, также требуется перевести параметр “Applies to” в значение “This object only” и выставить права (Раздел Permissions) “Read all properties”, как указано на рисунке ниже, после чего применить указанные настройки (OK->Apply).

Далее необходимо получить идентификатор объекта AD и SID созданной учётной записи и предоставить их в Центр мониторинга soc для выполнения настройки соответствующих правил корреляции. Для получения Object ID и SID созданной учётной записи на контроллере домена требуется запустить PowerShell с правами администратора и выполнить ниже представленную команду. Результат работы команды предоставить в Центр мониторинга soc.

Get-ADUser -Identity <имя созданной учётной запси>