Koadic: защита безопасности в эпоху вредоносных программ LoL, часть IV

  1. Блокировать этот хэш
  2. UAC помогает!
  3. Ужас локальных учетных записей администраторов
  4. Заключительные мысли о LoL Defense

Эта статья является частью серии «Руткит после эксплуатации Koadic». Проверьте остальное:

Одним из преимуществ изучения механизмов внутри Koadic является то, что вы получаете низкоуровневые знания о том, как выполняются атаки в реальном мире. Инструменты тестирования пера позволяют вам исследовать, как хакеры перемещаются или поворачиваются однажды в системе жертвы, и помогают вам понять эффективные защитные меры.

Блокировать этот хэш

Pass Hash (PtH) является одним из подходов, а не единственным, для выхода за пределы начальной точки входа в целевой системе. Он получил много намерений, поэтому стоит присмотреться.

Ключевое предположение за PtH состоит в том, что у вас уже есть права локального администратора, которые требуются mimikatz и другим прохожим хеша. Koadic удобно предоставляет мимикац в одном из своих имплантаты ,

Является ли получение прав администратора для PtH проблемой для хакеров?

Вообще нет! Они обнаружили, что получение привилегий локального администратора не является серьезным препятствием. Они смогли воспользоваться специальными эксплойтами, угадать пароли администратора по умолчанию, или им повезло, и они получили аккаунт, который уже имеет более высокие привилегии.

Коадич, например, включает в себя несколько имплантатов, которые могут повысить уровень привилегий. Тот, который я попробовал, основан на Мэтте Нельсоне Работа включая возможности автоматического повышения уровня в двоичном файле Windows, eventvwr.exe, который, по иронии судьбы, является средством просмотра событий WIndows. Во всяком случае, Microsoft с тех пор выпустила пластырь за этот эксплойт в Windows 10.

Однажды во время моего начального тестирования летом, имплантат byaduac_eventvw от Koadic, казалось, работал на моем экземпляре Amazon. В моем последнем тесте он не удался, и я предполагаю, что мне повезло, что я работал с непатчированной системой при первом же запуске.

Здесь есть урок: в дикой природе не каждая система будет исправлена, и хакеры будут охотиться, пока не найдут такую!

UAC помогает!

Microsoft написала длинный и всеобъемлющий белая бумага по предотвращению PtH. Это стоит вашего времени, чтобы просмотреть его. Тем не менее, также было много написано специалистами по безопасности о том, что Microsoft сделала (или не сделала) в предотвращении PtH. И после прочтения более подробно анализ Я не уверен, что понимаю все тонкости!

В любом случае, одной из рекомендаций Microsoft является контроль доступа пользователей, для краткости UAC, который был добавлен во времена Vista. Это предотвращает автоматическое выполнение привилегированными учетными записями того, что они хотят, до тех пор, пока их действия (на безопасной консоли) не будут одобрены человеком. Возможно, вы видели диалоговое окно UAC на своем офисном ноутбуке, когда вы пытались загрузить и выполнить двоичный файл из Intertoobz.

Вы можете найти параметры контроля учетных записей в объектах групповой политики в разделе Политики \ Параметры Windows \ Локальные политики \ Параметры безопасности (ниже). MS honchos рекомендует как минимум включить режим одобрения администратором. В моем тестировании я увлекся и включил несколько других вариантов UAC.

В моем тестировании я увлекся и включил несколько других вариантов UAC

С включенным UAC я смог остановить запуск Koadic своего имплантата mimikatz.

Я создал сценарий, в котором koadic stager запускается напрямую из локальной учетной записи администратора. Даже в этом очевидном случае вам в конечном итоге придется иметь дело с UAC. Вы по-прежнему можете запускать команды удаленно с консоли Koadic, но если вы попытаетесь задействовать PtH pivot, вы заблокированы (см. Ниже). Я проверил журнал событий, и, конечно же, есть запись, показывающая, что UAC был активирован.

Заблокировано UAC!

Вкратце: UAC не позволяет хакерам получить учетные данные на уровне домена и легко переходить с одного компьютера на другой.

Ужас локальных учетных записей администраторов

Одним из корневых механизмов бокового перемещения являются локальные учетные записи администратора, которые когда-то автоматически настраивались Windows. Чтобы упростить жизнь, ИТ-администраторы часто настраивают эти учетные записи с одинаковыми легко угадываемыми паролями на многих компьютерах.

Для хакеров это все равно, что бросать бензин в огонь: попав внутрь, они могут легко перемещаться по системе жертвы даже без PtH. Они просто запускают psexec, предоставляя ему явно пароль администратора, скажем, admin123. Очень просто.

Есть еще одна плохая практика - давать некоторым пользователям, часто руководителям, права локального администратора, ошибочно полагая, что им нужны эти дополнительные привилегии для выполнения специальных задач. Другими словами, их учетные записи пользователей добавляются в локальную группу администраторов на их ноутбуках.

Удачливые хакеры, которые приземляются на одной из этих машин, могут быстро взяться за дело: у них уже есть повышенные разрешения, поэтому они могут PtH с самого начала.

Какие есть идеи по снижению рисков с локальными учетными записями?

В упомянутом выше техническом документе PtH предлагается исключить обычных пользователей домена из локальной группы администраторов. Хорошая идея, и я одобряю это сообщение.

Если вы сохраняете локальные учетные записи администратора, убедитесь, что они имеют высокие энтропийные пароли. Возвращение и обновление неверных паролей администратора для крупных сайтов может быть серьезной проблемой. Microsoft щедро предоставляет Local Password Password Solution (LAPS) и группы с ограниченным доступом, чтобы компании могли централизованно управлять этими учетными записями. Это тема, которую я взял в этом сообщение ,

После этого вы можете запретить удаленный вход локальным учетным записям. Существует параметр объекта групповой политики в разделе Политики \ Параметры Windows \ Локальные политики \ Назначение прав пользователя, который называется «Запретить доступ к этому компьютеру из сети». При настройке с локальным SID, как объяснено Вот , вы должны иметь возможность заблокировать любую локальную учетную запись от сети.

[Обновлено]

Таким образом, даже если хакеры получили привилегированную локальную учетную запись, мы можем остановить их перемещение с помощью этого параметра GPO. Я не пробовал этот особенно эффективный способ избавиться от PtH, но я обновлю этот пост, как только проведу тестовую поездку.

Я получил шанс попробовать этот недавний патч, который делает невероятно удобным отключение локальных учетных записей администраторов от сети на уровне домена, предоставив новый SID «NT AUTHORITY \ Local account and member of Administrators group». Вам просто нужно ввести эту строку в настройку запрещающего сетевого объекта групповой политики:

Вам просто нужно ввести эту строку в настройку запрещающего сетевого объекта групповой политики:

Остановите локальную сеть администратора сейчас! Кстати, есть отдельный объект групповой политики для отключения удаленного управления рабочим столом.

Это не обязательно плохая идея. Да, вы запретили хакерам работать в сети, например, с помощью psexec, если им удалось угадать пароль локального администратора. И, вероятно, причиняет неудобства и делает некоторых администраторов более чем немного рассерженными на этом пути.

Если вы не хотите причинять неудобства своей собственной команде и предполагаете, что у нее есть хорошие, трудно угадываемые пароли, есть еще одна возможность. Но в этом и заключается сказка, которая освещена в этом обширном сообщение удивительным будет «вредить» Шредеру. Чтобы отключить передачу токена, которая позволяет PtH-атаке быть успешной, вам необходимо иметь дело с двумя настройками regedit, которые находятся в HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System (ниже).

Чтобы отключить передачу токена, которая позволяет PtH-атаке быть успешной, вам необходимо иметь дело с двумя настройками regedit, которые находятся в HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System (ниже)

С помощью этих двух настроек regedit вы можете отключить PtHing. Это не даст хакерам сформировать дамп учетных данных администратора и повторно использовать их на другом компьютере.

После некоторой проб и ошибок, я думаю, что я наконец понял, что сказал диджей. Короче говоря, вы можете разрешить администраторам подключаться к сети с помощью их высокоэнтропийных, трудно угадываемых паролей, одновременно останавливая хакеров из PtHing. Я расскажу об этом подробнее в другом посте.

Заключительные мысли о LoL Defense

Хранение хакеров, содержащихся на одной машине, является практичным способом снижения рисков. Конечно, они внутри и все еще могут провести некоторую разведку, но, по крайней мере, вы их сдержали.

Koadic показывает, как хакеры могут использовать существующие двоичные файлы Windows - mshta, rundll32 - для загрузки скриптов. Но вы можете отключить эту возможность удаленной загрузки сценариев и остановить атаку с самого начала с помощью Брандмауэр Windows ! Нет никакой причины, по которой эти двоичные файлы должны иметь доступ к Интернету, а Firewall позволяет отключить их исходящие соединения.

Наконец, Windows 10, несомненно, приведет нас всех в более безопасное будущее. Защитник Windows обладает мощными возможностями обнаружения вредоносных программ, а Credential Guard, похоже, предлагает более комплексное решение для работы с хэшами и билетами Kerberos. Я расскажу об этом в следующем посте.

Какие есть идеи по снижению рисков с локальными учетными записями?