So erkennen Sie die Bewegung von Angreifern im Netzwerk

Bei Projekten zur Analyse der Sicherheit von Unternehmensinformationssystemen im Jahr 2019 gelang es unseren Pentestern, den Netzwerkumfang von 93% der Unternehmen zu überwinden . Gleichzeitig konnte das Netzwerk von 50% der Unternehmen in nur einem Schritt durchdrungen werden. Um zu verhindern, dass echte Angreifer ihr Ziel erreichen, ist es wichtig, ihre Aktivitäten rechtzeitig zu identifizieren. Eine der kritischen Phasen eines Angriffs ist die seitliche Bewegung, wenn Angreifer ihre Präsenz im Netzwerk erweitern.

In diesem Artikel werde ich Ihnen zeigen, welche Aktivität mit der Bewegung innerhalb des Perimeters zusammenhängt und wie mithilfe der Netzwerkanalyse die Verwendung solcher Taktiken ermittelt werden kann.

Was betrifft die Bewegung innerhalb des Perimeters?

Schauen wir uns zunächst einige Schemata an, die Ihnen helfen, zu verstehen, in welche Phasen der Angriff unterteilt ist.

Das erste Diagramm zeigt den Lebenszyklus der Operationen eines roten Teams und zeigt die Aktionen eines Angreifers während eines Angriffs auf ein Informationssystem:

1. Angreifer führt externe Aufklärung durch (Recon)

2. Kompromisse beim System (Erstkompromiss)

3. Versucht, seine Präsenz in diesem System aufrechtzuerhalten (Persistenz herstellen)

4. Eskalieren von Berechtigungen

5. Interne Aufklärung

6. Wählt einen bequemen Transport für sich aus und verbindet sich mit dem Opfer (Seitenbewegung)

7. (Data Analysis)

8. 4―7 ( )

9. (Exfiltration and Complete Mission)

Active Directory Kill Chain, , .

3.  

6. 2—5

8. ,

, .

ATT&CK, . MITRE. . , – . . , .

Lateral movement ( ) , , , . DCOM, , . .

. , .

, :

• ASP .NET, DMZ;

• devops- agusev, ;

• gpavlov ;

• DC Administrator.

agusev gpavlov .

1.

, . devops- agusev, . , .

2. BloodHound DCOM (T1021.003)

BloodHound. , agusev Distributed Component Object Model (DCOM). SharpHound ( BloodHound) AGUSEV. Microsoft Management Console (MMC) 2.0.

DCOM    , . , DCOM. , ( MMC 2.0). .

, , , .

AD BloodHound

BloodHound gpavlovAdm, .

3. RDP- (T1021.001 T1570)

RDP- AGUSEV. RDP- kerbrute (https://github.com/ropnop/kerbrute), gpavlovAdm.

Kerbrute . , . BloodHound, gpavlov. , GPAVLOV gpavlov, gpavlovAdm.

BloodHound

kerbrute. 

4. c smbexec (T1021.002)

, gpavlov ( , ). smbexec Impacket. , , — gpavlovAdm. mimikatz SharpSploit (Github).

SharpSploit PowerSploit. PowerShell, SparpSploit — DLL C# .NET . , .

5.

mimikatz SharpSploit . , ntds.dit. secretsdump Impacket (Github).

. ATT&CK.

NTA- PT Network Attack Discovery. PT NAD L2—L7, , .

?

, , . , RDP — , , . , DMZ, RDP- . , devops- , .

, RDP-?

SMB- DCERPC. RPC DCOM- Impacket. lateral movement .

— , Impacket. cmd.exe system32 . HTTP-.

- ?

, ; , . «» , — , SPN- Active Directory. , .

LDAP. , . , , , , , BloodHound. , , Kerberos. 8380 : . PT NAD Kerberos.

? ?

, gpavlovAdm gpavlov. Kerberos- (KDC) . PT NAD . gpavlovAdm , — . gpavlov , , .

? , ?

, . Service Control Manager Impacket, sharpsloit.dll.

, gpavlovAdm. , — gpavlovAdm. . PT NAD , SCM, , SAM, LSA, SECURITY NTDS. , .

lateral movement

, , . :

• COM-, (, MMC 2.0);

• ;

• helpdesk Just Enough Administration;

• ;

• System.Management.Automation.dll.

: , PT Expert Security Center (PT ESC)