Clever Geek Handbook

Bagaimana mendeteksi pergerakan penyerang di seluruh jaringan

Pada proyek untuk menganalisis keamanan sistem informasi perusahaan pada tahun 2019, pentester kami berhasil mengatasi perimeter jaringan 93% perusahaan . Pada saat yang sama, 50% jaringan perusahaan dapat ditembus hanya dalam satu langkah. Untuk mencegah penyerang sungguhan mencapai tujuan mereka, penting untuk mengidentifikasi aktivitas mereka tepat waktu. Salah satu tahap kritis serangan adalah gerakan lateral, ketika penyerang memperluas kehadirannya di jaringan.

Dalam artikel ini, saya akan menunjukkan kepada Anda aktivitas apa yang terkait dengan pergerakan di dalam perimeter dan bagaimana, menggunakan analisis jaringan, untuk mengidentifikasi penggunaan taktik semacam itu.

Yang menyangkut bergerak di dalam perimeter

Pertama, mari kita lihat beberapa skema yang akan membantu Anda memahami tahap apa serangan itu dibagi.

https://github.com/infosecn1nja/Red-Teaming-Toolkit
https://github.com/infosecn1nja/Red-Teaming-Toolkit

Diagram pertama menggambarkan siklus hidup operasi tim merah dan mencerminkan tindakan penyerang selama serangan terhadap sistem informasi:

  1. Penyerang melakukan pengintaian eksternal (Pengintaian)

  2. Mengompromikan sistem (Kompromi Awal)

  3. Mencoba mempertahankan kehadirannya di sistem ini (Menetapkan Ketekunan)

  4. Tingkatkan Hak Istimewa

  5. Pengintai Internal

  6. Memilih transportasi yang nyaman untuk dirinya sendiri dan menghubungkan ke korban (Gerakan Lateral)

  7. (Data Analysis)

  8. 4โ€•7 ( )

  9. (Exfiltration and Complete Mission)

Active Directory Kill Chain, , .

 https://github.com/infosecn1nja/AD-Attack-Defense
 https://github.com/infosecn1nja/AD-Attack-Defense

  3.  

  6. 2โ€”5

  8. ,

, .

Matriks ATT & CK untuk Perusahaan
ATT&CK Matrix for Enterprise

ATT&CK, . MITRE. . , โ€“ . . , .

Lateral movement ( ) , , , . DCOM, , . .

. , .

, :

  • ASP .NET, DMZ;

  • devops- agusev, ;

  • gpavlov ;

  • DC Administrator.

agusev gpavlov .

1.

, . devops- agusev, . , .

2. BloodHound DCOM (T1021.003)

BloodHound. , agusev Distributed Component Object Model (DCOM). SharpHound ( BloodHound) AGUSEV. Microsoft Management Console (MMC) 2.0.

DCOM    , . , DCOM. , ( MMC 2.0). .

, , , .

AD BloodHound

BloodHound gpavlovAdm, .

3. RDP- (T1021.001 T1570)

RDP- AGUSEV. RDP- kerbrute (https://github.com/ropnop/kerbrute), gpavlovAdm.

Kerbrute . , . BloodHound, gpavlov. , GPAVLOV gpavlov, gpavlovAdm.

BloodHound

kerbrute. 

4. c smbexec (T1021.002)

, gpavlov ( , ). smbexec Impacket. , , โ€” gpavlovAdm. mimikatz SharpSploit (Github).

SharpSploit PowerSploit. PowerShell, SparpSploit โ€” DLL C# .NET . , .

5.

mimikatz SharpSploit . , ntds.dit. secretsdump Impacket (Github).

. ATT&CK.

Daftar teknik menyerang

NTA- PT Network Attack Discovery. PT NAD L2โ€”L7, , .

?

, , . , RDP โ€” , , . , DMZ, RDP- . , devops- , .

Dashboards PT Network Attack Discovery
PT Network Attack Discovery

, RDP-?

SMB- DCERPC. RPC DCOM- Impacket. lateral movement .

Peringatan ditemukan serangan menggunakan DCOMExec dari Impacket 
DCOMExec Impacket 

โ€” , Impacket. cmd.exe system32 . HTTP-.

- ?

, ; , . ยซยป , โ€” , SPN- Active Directory. , .

Pemberitahuan serangan LDAP yang terdeteksi
LDAP

LDAP. , . , , , , , BloodHound. , , Kerberos. 8380 : . PT NAD Kerberos.

Sesi Kerberos
Kerberos

? ?

, gpavlovAdm gpavlov. Kerberos- (KDC) . PT NAD . gpavlovAdm , โ€” . gpavlov , , .

Menggunakan akun gpavlov untuk mengunduh SharpSploit
gpavlov SharpSploit

? , ?

, . Service Control Manager Impacket, sharpsloit.dll.

Konfirmasi unduhan SharpSploit
SharpSploit

, gpavlovAdm. , โ€” gpavlovAdm. . PT NAD , SCM, , SAM, LSA, SECURITY NTDS. , .

Peringatan Pembuangan Registri Pengontrol Domain

lateral movement

, , . :

  • COM-, (, MMC 2.0);

  • ;

  • helpdesk Just Enough Administration;

  • ;

  • System.Management.Automation.dll.

: , PT Expert Security Center (PT ESC)



More articles:


All Articles