Chương Trình Đào Tạo An Toàn Thông Tin Quốc Tế Tại Việt Nam

Danh sách Toàn diện Công cụ và Cyber Kill Chain Active Directory trong năm 2024

Khái niệm “Tấn công & phòng thủ Kill Chain trong Active Directory” là một cách tiếp cận có cấu trúc để hiểu chuỗi sự kiện hoặc giai đoạn liên quan đến cuộc tấn công Active Directory (AD) và các biện pháp phòng thủ tương ứng để chống lại hoặc ngăn chặn các cuộc tấn công…

IT-PRO
30–45 phút
Tấn công và phòng thủ Active Directory

Khái niệm “Tấn công & phòng thủ Kill Chain trong Active Directory” là một cách tiếp cận có cấu trúc để hiểu chuỗi sự kiện hoặc giai đoạn liên quan đến cuộc tấn công Active Directory (AD) và các biện pháp phòng thủ tương ứng để chống lại hoặc ngăn chặn các cuộc tấn công đó. Microsoft đã phát triển dịch vụ Active Directory cho mạng miền Windows để quản lý tài nguyên và người dùng trong cài đặt công ty.

Để học và thực hành về vấn đề này có mô hình lab GOAT rất tuyệt vời, mọi người hãy tham khảo qua một số video BQT trình bày cũng như trên Youtube của ITSecurityLab và tải + cài đặt từ Github

Bạn cũng có thể tải xuống Mẫu kế hoạch ứng phó sự cố để ngăn chặn các cuộc tấn công dựa trên thư mục hoạt động. Dưới đây là thông tin chi tiết về một Attack Kill Chain Active Directory điển hình và cách phòng thủ của nó:

Trinh sát:

Tấn công : Kẻ tấn công thu thập thông tin về mạng mục tiêu, cấu trúc, tên miền, tên máy và tài khoản người dùng.

Phòng thủ : Hạn chế tiếp xúc thông tin. Sử dụng phân đoạn mạng và theo dõi khả năng hiển thị thư mục.

Thỏa hiệp ban đầu:

Tấn công : Kẻ tấn công khai thác lỗ hổng để có được quyền truy cập ban đầu. Điều này có thể thông qua lừa đảo, khai thác mật khẩu yếu hoặc lỗ hổng chưa được vá.

Phòng thủ : Thực hiện các chính sách mật khẩu mạnh, vá lỗi thường xuyên, đào tạo nâng cao nhận thức cho nhân viên và sử dụng xác thực đa yếu tố.

Tạo dựng chỗ đứng:

Tấn công : Sau khi có được quyền truy cập, kẻ tấn công sẽ thiết lập chỗ đứng bằng cách tạo cửa sau, tạo tài khoản mới hoặc cài đặt phần mềm độc hại.

Bảo vệ : Sử dụng các công cụ phản hồi và phát hiện điểm cuối, thường xuyên kiểm tra tài khoản và quyền cũng như giám sát các hoạt động bất thường.

Nâng cao đặc quyền:

Tấn công : Kẻ tấn công cố gắng giành được các đặc quyền cấp cao hơn, thường nhắm mục tiêu vào tài khoản quản trị viên hoặc khai thác các lỗ hổng hệ thống.

Bảo vệ : Áp dụng nguyên tắc đặc quyền tối thiểu, tiến hành kiểm tra đặc quyền thường xuyên và sử dụng các giải pháp quản lý quyền truy cập đặc quyền.

Trinh sát nội bộ:

Tấn công : Với đặc quyền cao hơn, kẻ tấn công khám phá mạng sâu hơn để xác định các mục tiêu có giá trị cao (như bộ điều khiển miền).

Phòng thủ : Phân đoạn mạng, giám sát lưu lượng mạng và sử dụng hệ thống phát hiện xâm nhập.

Di chuyển theo chiều ngang:

Tấn công : Kẻ tấn công di chuyển qua mạng, truy cập vào các hệ thống khác và có khả năng phát tán phần mềm độc hại.

Phòng thủ : Thực hiện kiểm soát truy cập nghiêm ngặt, giám sát các chuyển động bên và sử dụng các công cụ bảo mật mạng.
Duy trì sự hiện diện:

Tấn công : Kẻ tấn công thiết lập các phương pháp để duy trì sự hiện diện của chúng trong mạng, ngay cả khi một số điểm truy cập của chúng bị phát hiện và đóng lại.

Phòng thủ : Giám sát liên tục, quét mạng thường xuyên và lập kế hoạch ứng phó sự cố.

Hoàn thành nhiệm vụ:

Tấn công : Kẻ tấn công đạt được mục tiêu của mình, đó có thể là đánh cắp dữ liệu, mã hóa dữ liệu để đòi tiền chuộc hoặc gây gián đoạn hoạt động.

Bảo vệ : Các công cụ ngăn ngừa mất dữ liệu, sao lưu thường xuyên và chiến lược ứng phó sự cố toàn diện.

Việc hiểu và bảo vệ trước từng giai đoạn của chuỗi tiêu diệt Active Directory đòi hỏi sự kết hợp của các biện pháp kiểm soát kỹ thuật, chính sách bảo mật và đào tạo người dùng liên tục. Giám sát liên tục, ứng phó sự cố nhanh chóng và đánh giá thường xuyên các biện pháp bảo mật là rất cần thiết trong việc giảm thiểu rủi ro của các cuộc tấn công như vậy.

Ở đây, chúng tôi đang trình bày chi tiết về các chiến thuật, kỹ thuật và quy trình (TTP) mà những kẻ tấn công tận dụng để xâm phạm thư mục hoạt động và hướng dẫn giảm thiểu, phát hiện và ngăn chặn. Và hiểu về Tấn công chuỗi tiêu diệt Active Directory và Hoạt động thương mại của đối thủ khai thác sau hiện đại.

Cách bảo mật các cuộc tấn công Active Directory

Danh sách kiểm tra kỹ lưỡng là rất quan trọng để bảo vệ Active Directory (AD) khỏi các mối đe dọa. Đây là một cách tiếp cận có phương pháp:

Cập nhật và vá lỗi thường xuyên: Đảm bảo rằng tất cả các hệ thống, đặc biệt là những hệ thống sử dụng Active Directory, đều được vá lỗi và cập nhật các bản cập nhật bảo mật mới nhất một cách thường xuyên.

Bộ điều khiển miền (DC) được bảo mật về mặt vật lý và có trách nhiệm giới hạn đối với các dịch vụ AD được gọi là bộ điều khiển miền an toàn. Tránh xa các mục đích sử dụng thay thế cho DC.

Thiết lập chính sách mạnh mẽ về mật khẩu: Mật khẩu phải phức tạp và thay đổi thường xuyên. Để tăng cường bảo mật, bạn có thể cân nhắc sử dụng cụm mật khẩu và xác thực đa yếu tố (MFA).

Theo dõi tài khoản người dùng: Nếu bạn thấy bất kỳ tài khoản nào không được sử dụng hoặc có quá nhiều quyền, hãy tắt chúng.

Giới hạn tài khoản đặc quyền: Giảm số lượng người dùng có quyền truy cập quản trị là một biện pháp bảo mật quan trọng. Giới hạn quyền truy cập của người dùng vào những gì mô tả công việc của họ yêu cầu theo khái niệm đặc quyền tối thiểu.

Giám sát và kiểm tra thông tin đăng nhập và hoạt động: Thực hiện các biện pháp để giám sát và kiểm tra tất cả thông tin đăng nhập và hoạt động, đặc biệt là những hoạt động sử dụng tài khoản đặc quyền. Hãy để ý tới bất cứ điều gì khác thường có thể cho thấy một cuộc tấn công đang diễn ra.

Bảo mật quyền truy cập mạng vào AD: Bảo vệ Active Directory bằng cách hạn chế quyền truy cập vào máy chủ trên mạng. Chặn tất cả những người dùng cần thiết truy cập mạng bằng cách sử dụng tường lửa và phân đoạn mạng.

Sử dụng Chính sách nhóm và Đơn vị tổ chức: Áp dụng Chính sách nhóm cho cài đặt bảo mật và sắp xếp tài nguyên trong Đơn vị tổ chức (OU) để đảm bảo rằng cấu hình bảo mật của mạng nhất quán.

Sao lưu dữ liệu và khắc phục thảm họa: Sao lưu Active Directory thường xuyên và chuẩn bị cho tình huống xấu nhất. Thường xuyên đánh giá quá trình sao lưu và phục hồi của bạn.

Giáo dục người dùng: Hướng dẫn nhân viên cách phát hiện và tránh lừa đảo cũng như các mối đe dọa kỹ thuật xã hội khác. Nâng cao nhận thức có thể làm giảm đáng kể khả năng xảy ra các vụ tấn công thành công.

Thực hiện kiểm tra bảo mật môi trường Active Directory của bạn thường xuyên và kiểm tra việc tuân thủ các tiêu chuẩn bảo mật hiện hành và các biện pháp thực hành tốt nhất.

Nghĩ đến việc triển khai các giải pháp bảo mật tiên tiến: Nghĩ đến việc triển khai các giải pháp bảo mật tiên tiến như SIEM, IDS/IPS và Nền tảng bảo vệ điểm cuối.

Tăng cường cấu hình Active Directory: Triển khai các biện pháp bảo mật được đề xuất để thiết lập Active Directory, chẳng hạn như bảo vệ Giao thức truy cập thư mục hạng nhẹ (LDAP) và bắt buộc chữ ký Khối thông báo máy chủ (SMB) bất cứ khi nào khả thi.

Kiểm soát truy cập vật lý: Chỉ giới hạn quyền truy cập vật lý vào máy chủ và thiết bị mạng khác cho những người được ủy quyền.

Luôn cập nhật về các mối đe dọa mới nổi: Luôn cập nhật cho mình các mối đe dọa mới nổi bằng cách đọc các vectơ tấn công mới và các lỗ hổng có thể ảnh hưởng đến AD. Sau đó, sửa đổi các thủ tục bảo mật của bạn một cách thích hợp.

Nếu muốn giữ an toàn cho hệ thống Active Directory của mình, bạn cần xem lại và cập nhật danh sách kiểm tra này thường xuyên để giải quyết các mối đe dọa mới và những thay đổi về tổ chức.

Danh sách tham khảo Toàn diện tấn công Active Directory

Quét SPN

Khai thác dữ liệu

Săn người dùng (xem cách cài mới rất dễ ở video sau)

Pivot

AppLocker

Dịch vụ liên kết Active Directory

Nâng cao đặc quyền

Lạm dụng dịch vụ chứng chỉ Active Directory

PetitPotam

Zerologon

Mật khẩu trong SYSVOL & Tùy chọn chính sách nhóm

Lỗ hổng Kerberos MS14-068

Quản trị viên DNS

Phái đoàn Kerberos

Ủy quyền không giới hạn

Ủy quyền bị ràng buộc

Ủy quyền hạn chế dựa trên tài nguyên

Quyền cấp phép đối tượng chính sách nhóm không an toàn

Quyền cấp phép ACL không an toàn

Ủy thác tên miền

DCShadow

THOÁT KHỎI

Máy chủ Microsoft SQL

Rừng Đỏ

Trao đổi

Rơle NTLM & LLMNR/NBNS

Chuyển động bên

Vượt qua hàm băm

Trình quản lý cấu hình trung tâm hệ thống (SCCM)

WSUS

Xịt mật khẩu

Chuyển động bên tự động

Né tránh phòng thủ

Trốn tránh trong bộ nhớ

Lẩn tránh phát hiện và phản hồi điểm cuối (EDR)

OPSEC

Trốn tránh Microsoft ATA & ATP

Bỏ qua ghi nhật ký khối PowerShell Script

Bỏ qua giao diện quét chống phần mềm độc hại PowerShell (AMSI)

Đang tải .NET Assemblies Bỏ qua giao diện quét phần mềm độc hại (AMSI)

AppLocker & Bỏ qua bảo vệ thiết bị

Trốn tránh hệ thống

Trốn tránh HoneyTokens

Vô hiệu hóa các công cụ bảo mật

Bán phá giá thông tin xác thực

Trích xuất mật khẩu NTDS.DIT

SAM (Người quản lý tài khoản bảo mật)

Kerberoasting

Kerberos AP-REP Rang

Trình quản lý thông tin xác thực Windows/Vault

DCSync

Ngộ độc LLMNR/NBT-NS

Người khác

Kiên trì

Vé vàng

Lịch sử SID

Vé Bạc

DCShadow

Quản trị viênSDHolder

Đối tượng chính sách nhóm

Chìa khóa xương

SeEnableDelegationĐặc quyền

Nhà cung cấp hỗ trợ bảo mật

Chế độ khôi phục dịch vụ thư mục

ACL & Bộ mô tả bảo mật

Công cụ & tập lệnh

  • Chứng nhận – Chứng nhận là một công cụ C# để liệt kê và lạm dụng các cấu hình sai trong Dịch vụ Chứng chỉ Active Directory (AD CS).
  • PSPKIAudit – Bộ công cụ PowerShell để kiểm tra Dịch vụ chứng chỉ Active Directory (AD CS).
  • PowerView – Khung PowerShell nhận thức tình huống
  • BloodHound – Sáu cấp độ quản trị tên miền
  • Impacket – Impacket là tập hợp các lớp Python để làm việc với các giao thức mạng
  • aclpwn.py – Khai thác ACL Active Directory với BloodHound
  • CrackMapExec – Một con dao quân đội Thụy Sĩ dành cho các mạng pentest
  • ADACLScanner – Một công cụ có GUI hoặc lệnh linte được sử dụng để tạo báo cáo về danh sách kiểm soát truy cập (DACL) và danh sách kiểm soát truy cập hệ thống (SACL) trong Active Directory
  • zBang – zBang là công cụ đánh giá rủi ro nhằm phát hiện các mối đe dọa tài khoản đặc quyền tiềm ẩn
  • SafetyKatz – SafetyKatz là sự kết hợp giữa phiên bản sửa đổi một chút của dự án Mimikatz của @gentilkiwi và .NET PE Loader của @subTee.
  • SharpDump – SharpDump là cổng C# của chức năng Out-Minidump.ps1 của PowerSploit.
  • PowerUpSQL – Bộ công cụ PowerShell để tấn công máy chủ SQL
  • Rubeus – Rubeus là bộ công cụ C# dành cho tương tác và lạm dụng Kerberos thô
  • ADRecon – Một công cụ thu thập thông tin về Active Directory và tạo báo cáo có thể cung cấp bức tranh tổng thể về trạng thái hiện tại của môi trường AD mục tiêu
  • Mimikatz – Tiện ích trích xuất mật khẩu văn bản gốc, mã băm, mã PIN và vé kerberos từ bộ nhớ nhưng cũng thực hiện pass-the-hash, pass-the-ticket hoặc xây dựng Golden ticket
  • Grouper – Tập lệnh PowerShell giúp tìm các cài đặt dễ bị tấn công trong Chính sách nhóm AD.
  • Powermad – Công cụ khai thác DNS và PowerShell MachineAccountQuota
  • RACE – RACE là mô-đun PowerShell để thực hiện các cuộc tấn công ACL chống lại các mục tiêu Windows.
  • DomainPasswordSpray – DomainPasswordSpray là một công cụ được viết bằng PowerShell để thực hiện cuộc tấn công dò mật khẩu chống lại người dùng tên miền.
  • MailSniper – MailSniper là một công cụ kiểm tra thâm nhập để tìm kiếm qua email trong môi trường Microsoft Exchange với các thuật ngữ cụ thể (mật khẩu, thông tin nội bộ, thông tin kiến ​​trúc mạng, v.v.)
  • LAPSToolkit – Công cụ kiểm tra và tấn công môi trường LAPS.
  • CredDefense – Bảo vệ thông tin xác thực và nhóm đỏ cho môi trường Windows
  • ldapdomaindump – Trình kết xuất thông tin Active Directory qua LDAP
  • SpoolSample – Công cụ PoC để ép buộc các máy chủ Windows xác thực với các máy khác thông qua giao diện RPC MS-RPRN
  • adconnectdump – Trích xuất mật khẩu Azure AD Connect
  • o365recon – Tập lệnh lấy thông tin qua O365 với thông tin xác thực hợp lệ
  • ROADtools – ROADtools là một framework để tương tác với Azure AD. TÔI
  • Stormspotter – Stormspotter tạo “biểu đồ tấn công” của các tài nguyên trong đăng ký Azure.
  • AADInternals – AADInternals là mô-đun PowerShell để quản trị Azure AD và Office 365
  • MicroBurst: Bộ công cụ PowerShell để tấn công Azure – MicroBurst bao gồm các chức năng và tập lệnh hỗ trợ khám phá Dịch vụ Azure, kiểm tra cấu hình yếu và các hành động khai thác sau như bán phá giá thông tin xác thực.

Sách điện tử

Bảng cheat

Các nguồn lực khác

Thư mục hoạt động Azure

Phòng thủ & Phát hiện

Công cụ & tập lệnh

  • Invoke-TrimarcADChecks – Tập lệnh Invoke-TrimarcADChecks.ps1 PowerShell được thiết kế để thu thập dữ liệu từ một nhóm AD miền duy nhất để thực hiện Đánh giá bảo mật Active Directory (ADSA).
  • Tạo các tầng trong AD – Tiêu đề dự án Active Directory Tự động triển khai các tầng trong mọi môi trường
  • SAMRi10 – Tăng cường khả năng truy cập từ xa SAM trong Windows 10/Server 2016
  • Net Stop – Tăng cường liệt kê phiên Net
  • PingCastle – Một công cụ được thiết kế để đánh giá nhanh mức độ bảo mật Active Directory bằng phương pháp dựa trên đánh giá rủi ro và khung trưởng thành
  • Máy quét DC từ xa phần mềm độc hại Aorato Skeleton Key – Quét từ xa để tìm sự tồn tại của Phần mềm độc hại Skeleton Key
  • Đặt lại mật khẩu/khóa tài khoản krbtgt – Tập lệnh này sẽ cho phép bạn đặt lại mật khẩu tài khoản krbtgt và các khóa liên quan đồng thời giảm thiểu khả năng xảy ra sự cố xác thực Kerberos do thao tác này gây ra
  • Đặt lại mật khẩu/khóa tài khoản KrbTgt cho RWDC/RODC
  • RiskySPN – RiskySPN là tập hợp các tập lệnh PowerShell tập trung vào việc phát hiện và lạm dụng các tài khoản được liên kết với SPN (Tên chính của dịch vụ).
  • Triển khai-Deception – Mô-đun PowerShell để triển khai các đối tượng giải mã thư mục hoạt động
  • SpoolerScanner – Kiểm tra xem MS-RPRN có khả dụng từ xa hay không bằng powershell/c#
  • dcept – Công cụ triển khai và phát hiện việc sử dụng honeytoken Active Directory
  • Log onTracer – Điều tra hoạt động đăng nhập Windows độc hại bằng cách trực quan hóa và phân tích nhật ký sự kiện Windows
  • DCSYNCMonitor – Giám sát các cuộc tấn công DCSYNC và DCSHADOW và tạo Sự kiện Windows tùy chỉnh cho các sự kiện này
  • Sigma – Định dạng chữ ký chung cho hệ thống SIEM
  • Sysmon – System Monitor (Sysmon) là trình điều khiển thiết bị và dịch vụ hệ thống Windows, sau khi được cài đặt trên hệ thống, vẫn tồn tại trong các lần khởi động lại hệ thống để giám sát và ghi nhật ký hoạt động của hệ thống vào nhật ký sự kiện Windows.
  • SysmonSearch – Điều tra hoạt động đáng ngờ bằng cách trực quan hóa nhật ký sự kiện của Sysmon
  • ClrGuard – ClrGuard là một dự án bằng chứng về khái niệm nhằm khám phá việc trang bị Thời gian chạy ngôn ngữ chung (CLR) cho mục đích bảo mật.
  • Get-ClrReflection – Phát hiện các mô-đun CLR (.NET) chỉ có bộ nhớ.
  • Get-InjectedThread – Get-InjectedThread xem xét từng luồng đang chạy để xác định xem đó có phải là kết quả của việc tiêm bộ nhớ hay không.
  • SilkETW – SilkETW & SilkService là các trình bao bọc C# linh hoạt cho ETW, chúng nhằm mục đích trừu tượng hóa sự phức tạp của ETW và cung cấp cho mọi người một giao diện đơn giản để thực hiện nghiên cứu và xem xét nội tâm.
  • WatchAD – Hệ thống phát hiện xâm nhập bảo mật AD
  • Sparrow – Nhóm Điều tra đám mây của CISA đã tạo Sparrow.ps1 để giúp phát hiện các tài khoản và ứng dụng có thể bị xâm phạm trong môi trường Azure/m365.
  • DFIR-O365RC – Mô-đun PowerShell DFIR-O365RC là một tập hợp các chức năng cho phép nhà phân tích DFIR thu thập nhật ký liên quan đến các cuộc điều tra Lấn chiếm email doanh nghiệp của Office 365.
  • AzureADIncidentResponse – Công cụ hỗ trợ ứng phó sự cố Azure AD
  • ADTimeline – Tập lệnh ADTimeline tạo dòng thời gian dựa trên siêu dữ liệu sao chép Active Directory cho các đối tượng được coi là quan tâm.

Cấu hình hệ thống

  • sysmon-module – Kho lưu trữ cấu hình Sysmon để mọi người tùy chỉnh
  • sysmon-dfir – Nguồn, cấu hình và cách phát hiện những thứ xấu xa bằng cách sử dụng Microsoft Sysmon.
  • sysmon-config – Mẫu tệp cấu hình Sysmon với tính năng theo dõi sự kiện chất lượng cao mặc định

Kiểm tra bảo mật Active Directory (bởi Sean Metcalf – @Pyrotek3)

Khuyến nghị chung

  • Quản lý mật khẩu Quản trị viên cục bộ (LAPS).
  • Triển khai chế độ Quản trị viên hạn chế RDP (nếu cần).
  • Loại bỏ các hệ điều hành không được hỗ trợ khỏi mạng.
  • Giám sát các tác vụ theo lịch trình trên các hệ thống nhạy cảm (DC, v.v.).
  • Đảm bảo rằng mật khẩu quản lý OOB (DSRM) được thay đổi thường xuyên và lưu trữ an toàn.
  • Sử dụng SMB v2/v3+
  • Mật khẩu Quản trị viên miền & KRBTGT mặc định phải được thay đổi hàng năm và khi quản trị viên AD rời đi.
  • Xóa các tin cậy không còn cần thiết và bật tính năng lọc SID nếu thích hợp.
  • Tất cả xác thực tên miền phải được đặt (khi có thể) thành: “Gửi phản hồi NTLMv2 chỉ từ chối LM & NTLM”.
  • Chặn truy cập internet đối với DC, máy chủ và tất cả hệ thống quản trị.

Bảo vệ thông tin xác thực của quản trị viên

  • Không có tài khoản “người dùng” hoặc máy tính trong nhóm quản trị.
  • Đảm bảo tất cả tài khoản quản trị viên đều “nhạy cảm và không thể ủy quyền”.
  • Thêm tài khoản quản trị viên vào nhóm “Người dùng được bảo vệ” (yêu cầu Bộ kiểm soát miền Windows Server 2012 R2, 2012R2 DFL để bảo vệ miền).
  • Vô hiệu hóa tất cả tài khoản quản trị viên không hoạt động và xóa khỏi các nhóm đặc quyền.

Bảo vệ thông tin xác thực của quản trị viên AD

  • Giới hạn tư cách thành viên quản trị viên AD (DA, EA, Quản trị viên lược đồ, v.v.) và chỉ sử dụng các nhóm ủy quyền tùy chỉnh.
  • Quản trị ‘theo cấp’ giảm thiểu tác động trộm cắp thông tin xác thực.
  • Đảm bảo quản trị viên chỉ đăng nhập vào máy chủ và máy trạm quản trị viên đã được phê duyệt.
  • Tận dụng tư cách thành viên nhóm tạm thời, dựa trên thời gian cho tất cả tài khoản quản trị viên

Bảo vệ thông tin xác thực tài khoản dịch vụ

  • Giới hạn ở các hệ thống có cùng mức độ bảo mật.
  • Tận dụng “Tài khoản dịch vụ được quản lý (Nhóm)” (hoặc PW >20 ký tự) để giảm thiểu hành vi trộm cắp thông tin xác thực (kerberoast).
  • Triển khai FGPP (DFL =>2008) để tăng yêu cầu PW cho SA và quản trị viên.
  • Hạn chế đăng nhập – ngăn chặn đăng nhập tương tác và giới hạn khả năng đăng nhập vào các máy tính cụ thể.
  • Vô hiệu hóa các SA không hoạt động và xóa khỏi các nhóm đặc quyền.

Bảo vệ tài nguyên

  • Phân đoạn mạng để bảo vệ quản trị viên và các hệ thống quan trọng.
  • Triển khai IDS để giám sát mạng nội bộ công ty.
  • Quản lý thiết bị mạng & OOB trên mạng riêng biệt.

Bảo vệ bộ điều khiển miền

  • Chỉ chạy phần mềm & dịch vụ hỗ trợ AD.
  • Các nhóm tối thiểu (& người dùng) có quyền đăng nhập/quản trị viên DC.
  • Đảm bảo các bản vá được áp dụng trước khi chạy DCPromo (đặc biệt là MS14-068 và các bản vá quan trọng khác).
  • Xác thực các tác vụ và tập lệnh theo lịch trình.

Bảo vệ máy trạm (& máy chủ)

  • Vá nhanh chóng, đặc biệt là các lỗ hổng leo thang đặc quyền.
  • Triển khai bản vá cổng sau bảo mật (KB2871997).
  • Đặt khóa reg Wdigest thành 0 (KB2871997/Windows 8.1/2012R2+): HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersWdigest
  • Triển khai danh sách trắng của máy trạm (Microsoft AppLocker) để chặn mã thực thi trong thư mục người dùng – đường dẫn hồ sơ và thư mục chính.
  • Triển khai công nghệ hộp cát ứng dụng máy trạm (EMET) để giảm thiểu việc khai thác bộ nhớ ứng dụng (0 ngày).

Ghi nhật ký

  • Bật kiểm tra nâng cao
  • “Kiểm tra: Buộc cài đặt danh mục phụ chính sách kiểm tra (Windows Vista trở lên) để ghi đè cài đặt danh mục chính sách kiểm tra”
  • Bật tính năng ghi nhật ký mô-đun PowerShell (“*”) và chuyển tiếp nhật ký đến máy chủ nhật ký trung tâm (WEF hoặc phương thức khác).
  • Bật ghi nhật ký và nâng cao quy trình CMD (KB3004375) và chuyển tiếp nhật ký đến máy chủ nhật ký trung tâm.
  • SIEM hoặc tương đương để tập trung càng nhiều dữ liệu nhật ký càng tốt.
  • Hệ thống Phân tích Hành vi Người dùng để nâng cao kiến ​​thức về hoạt động của người dùng (chẳng hạn như Microsoft ATA).

Kiểm tra của chuyên gia bảo mật

  • Xác định ai có quyền quản trị viên AD (miền/rừng).
  • Xác định ai có thể đăng nhập vào Bộ điều khiển miền (và quyền quản trị đối với môi trường ảo lưu trữ DC ảo).
  • Quét các miền Active Directory, OU, AdminSDHolder và GPO để tìm các quyền tùy chỉnh không phù hợp.
  • Đảm bảo quản trị viên AD (còn gọi là Quản trị viên miền) bảo vệ thông tin xác thực của họ bằng cách không đăng nhập vào các hệ thống (máy trạm) không đáng tin cậy.
  • Giới hạn quyền tài khoản dịch vụ hiện là DA (hoặc tương đương).

Cập nhật bảo mật quan trọng

CVETiêu đềSự miêu tảliên kết
CVE-2020-1472Netlogon nâng cao lỗ hổng đặc quyềnLỗ hổng nâng cao đặc quyền tồn tại khi kẻ tấn công thiết lập kết nối kênh bảo mật Netlogon dễ bị tổn thương với bộ điều khiển miền, sử dụng Giao thức từ xa Netlogon (MS-NRPC). Kẻ tấn công khai thác thành công lỗ hổng có thể chạy một ứng dụng được chế tạo đặc biệt trên một thiết bị trên mạng.https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472
CVE-2019-1040Lỗ hổng giả mạo Windows NTLMMột lỗ hổng giả mạo tồn tại trong Microsoft Windows khi kẻ tấn công trung gian có thể vượt qua thành công lớp bảo vệ NTLM MIC (Kiểm tra tính toàn vẹn của tin nhắn), hay còn gọi là ‘Lỗ hổng giả mạo Windows NTLM’.https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1040
CVE-2019-0683Active Directory nâng cao lỗ hổng đặc quyềnLỗ hổng nâng cao đặc quyền tồn tại trong nhóm tin cậy Active Directory Forest do cài đặt mặc định cho phép kẻ tấn công trong nhóm tin cậy yêu cầu ủy quyền TGT để có danh tính từ nhóm đáng tin cậy, hay còn gọi là ‘Độ cao của lỗ hổng đặc quyền trong Active Directory’.https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0683
CVE-2019-0708Lỗ hổng thực thi mã từ xa Dịch vụ máy tính từ xaMột lỗ hổng thực thi mã từ xa tồn tại trong Dịch vụ máy tính từ xa trước đây gọi là Dịch vụ đầu cuối khi kẻ tấn công không được xác thực kết nối với hệ thống mục tiêu bằng RDP và gửi các yêu cầu được tạo đặc biệt, hay còn gọi là ‘Lỗ hổng thực thi mã từ xa của Dịch vụ máy tính từ xa’.https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
CVE-2018-8581Microsoft Exchange Server nâng cao lỗ hổng đặc quyềnLỗ hổng nâng cao đặc quyền tồn tại trong Microsoft Exchange Server, hay còn gọi là “Độ cao của lỗ hổng đặc quyền trên Microsoft Exchange Server”. Điều này ảnh hưởng đến Microsoft Exchange Server.https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8518
CVE-2017-0143Lỗ hổng thực thi mã từ xa Windows SMBMáy chủ SMBv1 trong Microsoft Windows Vista SP2; Windows Server 2008 SP2 và R2 SP1; Windows 7 SP1; Windows 8.1; Windows Server 2012 Vàng và R2; Windows RT 8.1; và Windows 10 Gold, 1511 và 1607; và Windows Server 2016 cho phép kẻ tấn công từ xa thực thi mã tùy ý thông qua các gói được tạo thủ công, hay còn gọi là “Lỗ hổng thực thi mã từ xa Windows SMB”. Lỗ hổng này khác với các lỗ hổng được mô tả trong CVE-2017-0144, CVE-2017-0145, CVE-2017-0146 và CVE-2017-0148.https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0143
CVE-2016-0128Lỗ hổng hạ cấp Windows SAM và LSADViệc triển khai giao thức SAM và LSAD trong Microsoft Windows Vista SP2, Windows Server 2008 SP2 và R2 SP1, Windows 7 SP1, Windows 8.1, Windows Server 2012 Gold và R2, Windows RT 8.1 và Windows 10 Gold và 1511 không thiết lập RPC đúng cách kênh này cho phép kẻ tấn công trung gian thực hiện các cuộc tấn công hạ cấp giao thức và mạo danh người dùng bằng cách sửa đổi luồng dữ liệu máy khách-máy chủ, hay còn gọi là “Lỗ hổng hạ cấp Windows SAM và LSAD” hoặc “BADLOCK”.https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2016-0128
CVE-2014-6324Lỗ hổng trong Kerberos có thể cho phép nâng cao đặc quyền (3011780)Trung tâm phân phối khóa Kerberos (KDC) trong Microsoft Windows Server 2003 SP2, Windows Vista SP2, Windows Server 2008 SP2 và R2 SP1, Windows 7 SP1, Windows 8, Windows 8.1 và Windows Server 2012 Gold và R2 cho phép người dùng miền được xác thực từ xa có được các đặc quyền của quản trị viên tên miền thông qua chữ ký giả mạo trong một vé, được khai thác tự nhiên vào tháng 11 năm 2014, hay còn gọi là “Lỗ hổng kiểm tra tổng kiểm tra Kerberos”.https://docs.microsoft.com/en-us/security-updates/securitybulletins/2014/ms14-068
CVE-2014-1812Lỗ hổng trong Tùy chọn chính sách nhóm có thể cho phép nâng cao đặc quyềnViệc triển khai Chính sách nhóm trong Microsoft Windows Vista SP2, Windows Server 2008 SP2 và R2 SP1, Windows 7 SP1, Windows 8, Windows 8.1 và Windows Server 2012 Gold và R2 không xử lý đúng cách việc phân phối mật khẩu, điều này cho phép người dùng được xác thực từ xa có được thông tin xác thực nhạy cảm và do đó có được các đặc quyền bằng cách tận dụng quyền truy cập vào chia sẻ SYSVOL, bị khai thác trắng trợn vào tháng 5 năm 2014, hay còn gọi là “Tùy chọn chính sách nhóm Nâng cao mật khẩu của lỗ hổng đặc quyền”.https://support.microsoft.com/en-us/help/2962486/ms14-025-vulnerability-in-group-policy-preferences-could-allow-elevati

Phát hiện

Tấn côngMã sự kiện
Bảng liệt kê tài khoản và nhóm4798: Thành viên nhóm cục bộ của người dùng đã được liệt kê
4799: Thành viên nhóm cục bộ hỗ trợ bảo mật đã được liệt kê
Quản trị viênSDHolder4780: ACL được đặt trên các tài khoản là thành viên của nhóm quản trị viên
Kekeo4624: Đăng nhập tài khoản
4672: Đăng nhập quản trị
4768: Yêu cầu Kerberos TGS
Vé Bạc4624: Đăng nhập tài khoản
4634: Đăng xuất tài khoản
4672: Đăng nhập quản trị viên
Vé vàng4624: Đăng nhập tài khoản
4672: Đăng nhập quản trị
PowerShell4103: Ghi nhật ký khối tập lệnh
400: Vòng đời công cụ
403: Vòng đời công cụ
4103: Ghi nhật ký mô-đun
600: Vòng đời nhà cung cấp
DCShadow4742: Một tài khoản máy tính đã bị thay đổi
5137: Một đối tượng dịch vụ thư mục đã được tạo
5141: Một đối tượng dịch vụ thư mục đã bị xóa
4929: Bối cảnh đặt tên nguồn bản sao Active Directory đã bị xóa
Chìa khóa xương4673: Một dịch vụ đặc quyền được gọi là
4611: Một quy trình đăng nhập đáng tin cậy đã được đăng ký với Cơ quan An ninh Địa phương
4688: Một quy trình mới đã được tạo
4689: Một quy trình mới đã thoát
PYKEK MS14-0684672: Đăng nhập quản trị viên
4624: Đăng nhập tài khoản
4768: Yêu cầu Kerberos TGS
Kerberoasting4769: Một vé Kerberos được yêu cầu
S4U2Proxy4769: Một vé Kerberos được yêu cầu
Chuyển động bên4688: Một quy trình mới đã được tạo
4689: Một quy trình đã thoát
4624: Một tài khoản đã được đăng nhập thành công
4625: Một tài khoản không thể đăng nhập
quản trị DNS770: DLL plugin máy chủ DNS đã được tải
541: Cài đặt serverlevelplugindll trên phạm vi . đã được đặt thành <dll path>
150: Máy chủ DNS không thể tải hoặc khởi chạy plug-in DLL
DCSync4662: Một thao tác được thực hiện trên một đối tượng
Xịt mật khẩu4625: Tài khoản không đăng nhập được
4771: Xác thực trước Kerberos không thành công
4648: Đã thử đăng nhập bằng thông tin xác thực rõ ràng

Source

Active Directory Attack Kill Chain Checklist & Tools List- 2024

Bình luận về bài viết này

Thịnh hành