Clever Geek Handbook

ネットワーク全体の攻撃者の動きを検出する方法

2019年に企業情報システムのセキュリティを分析するプロジェクトでは、ペンテスターは93%の企業のネットワーク境界を克服することができました同時に、50%の企業のネットワークにたった1つのステップで侵入することができました。実際の攻撃者が目標を達成するのを防ぐために、時間内に彼らの活動を特定することが重要です。攻撃の重要な段階の1つは、攻撃者がネットワーク上でプレゼンスを拡大するときの横方向の動きです。

この記事では、境界内の動きに関連するアクティビティと、ネットワーク分析を使用してそのような戦術の使用を特定する方法を示します。

境界内の動きに関係するもの

まず、攻撃がどの段階に分割されているかを理解するのに役立ついくつかの図を見てみましょう。

https://github.com/infosecn1nja/Red-Teaming-Toolkit
https://github.com/infosecn1nja/Red-Teaming-Toolkit

最初の図は、レッドチームの運用のライフサイクル示しており、情報システムへの攻撃中の攻撃者のアクションを反映しています。

  1. 攻撃者が外部偵察を行う(偵察)

  2. システムを危険にさらす(初期侵害)

  3. このシステムでの存在を維持しようとします(永続性の確立)

  4. 特権をエスカレートする

  5. 内部偵察

  6. 自分に都合の良い交通手段を選び、被害者とつながる(横運動)

  7. (Data Analysis)

  8. 4―7 ( )

  9. (Exfiltration and Complete Mission)

Active Directory Kill Chain, , .

 https://github.com/infosecn1nja/AD-Attack-Defense
 https://github.com/infosecn1nja/AD-Attack-Defense

  3.  

  6. 2—5

  8. ,

, .

エンタープライズ向けのATT&CKマトリックス
ATT&CK Matrix for Enterprise

ATT&CK, . MITRE. . , – . . , .

Lateral movement ( ) , , , . DCOM, , . .

. , .

, :

  • ASP .NET, DMZ;

  • devops- agusev, ;

  • gpavlov ;

  • DC Administrator.

agusev gpavlov .

1.

, . devops- agusev, . , .

2. BloodHound DCOM (T1021.003)

BloodHound. , agusev Distributed Component Object Model (DCOM). SharpHound ( BloodHound) AGUSEV. Microsoft Management Console (MMC) 2.0.

DCOM    , . , DCOM. , ( MMC 2.0). .

, , , .

AD BloodHound

BloodHound gpavlovAdm, .

3. RDP- (T1021.001 T1570)

RDP- AGUSEV. RDP- kerbrute (https://github.com/ropnop/kerbrute), gpavlovAdm.

Kerbrute . , . BloodHound, gpavlov. , GPAVLOV gpavlov, gpavlovAdm.

BloodHound

kerbrute. 

4. c smbexec (T1021.002)

, gpavlov ( , ). smbexec Impacket. , , — gpavlovAdm. mimikatz SharpSploit (Github).

SharpSploit PowerSploit. PowerShell, SparpSploit — DLL C# .NET . , .

5.

mimikatz SharpSploit . , ntds.dit. secretsdump Impacket (Github).

. ATT&CK.

攻撃テクニックのリスト

NTA- PT Network Attack Discovery. PT NAD L2—L7, , .

?

, , . , RDP — , , . , DMZ, RDP- . , devops- , .

ダッシュボードPTネットワーク攻撃の発見
PT Network Attack Discovery

, RDP-?

SMB- DCERPC. RPC DCOM- Impacket. lateral movement .

ImpacketのDCOMExecを使用してアラートが攻撃を検出しました 
DCOMExec Impacket 

— , Impacket. cmd.exe system32 . HTTP-.

- ?

, ; , . «» , — , SPN- Active Directory. , .

検出されたLDAP攻撃の通知
LDAP

LDAP. , . , , , , , BloodHound. , , Kerberos. 8380 : . PT NAD Kerberos.

Kerberosセッション
Kerberos

? ?

, gpavlovAdm gpavlov. Kerberos- (KDC) . PT NAD . gpavlovAdm , — . gpavlov , , .

gpavlovアカウントを使用してSharpSploitをダウンロードする
gpavlov SharpSploit

? , ?

, . Service Control Manager Impacket, sharpsloit.dll.

SharpSploitダウンロード確認
SharpSploit

, gpavlovAdm. , — gpavlovAdm. . PT NAD , SCM, , SAM, LSA, SECURITY NTDS. , .

ドメインコントローラーレジストリダンプアラート

lateral movement

, , . :

  • COM-, (, MMC 2.0);

  • ;

  • helpdesk Just Enough Administration;

  • ;

  • System.Management.Automation.dll.

: , PT Expert Security Center (PT ESC)



More articles:


All Articles