Nadiskobrehan karong tuiga Gitugotan ang bisan kinsa nga tiggamit sa domain nga makakuha mga katungod sa tagdumala sa domain ug ikompromiso ang Active Directory (AD) ug uban pang konektado nga mga host. Karon isulti namon kanimo kung giunsa kini nga pag-atake ug kung giunsa kini mahibal-an.
Ania kung giunsa kini nga pag-atake molihok:
- Gikuha sa usa ka tig-atake ang account sa bisan kinsa nga tiggamit sa domain nga adunay usa ka aktibo nga mailbox aron maka-subscribe sa bahin sa pagpahibalo sa pagduso gikan sa Exchange
- Gigamit sa tig-atake ang NTLM relay sa paglimbong sa Exchange server: isip resulta, ang Exchange server nagkonektar sa kompromiso nga kompyuter sa user gamit ang NTLM over HTTP nga pamaagi, nga gigamit dayon sa tig-atake aron mapamatud-an ang domain controller pinaagi sa LDAP nga adunay mga kredensyal sa Exchange account.
- Gigamit sa tig-atake kini nga mga kredensyal sa Exchange account aron madugangan ang ilang mga pribilehiyo. Kini nga katapusang lakang mahimo usab nga himuon sa usa ka kontra nga tagdumala nga adunay lehitimong pag-access aron mahimo ang kinahanglan nga pagbag-o sa pagtugot. Pinaagi sa paghimo og usa ka lagda aron mahibal-an kini nga kalihokan, mapanalipdan ka gikan niini ug sa susamang mga pag-atake.
Pagkahuman, ang usa ka tig-atake mahimo, pananglitan, magpadagan sa DCSync aron makuha ang gi-hash nga mga password sa tanan nga mga tiggamit sa domain. Kini magtugot kaniya sa pagpatuman sa lain-laing mga matang sa mga pag-atake - gikan sa bulawan nga pag-atake sa tiket ngadto sa hash transmission.
Ang koponan sa panukiduki sa Varonis nagtuon niini nga vector sa pag-atake sa detalye ug nag-andam usa ka giya alang sa among mga kostumer aron mahibal-an kini ug sa samang higayon susihon kung nakompromiso na ba sila.
Domain Privilege Escalation Detection
Π Paghimo usa ka naandan nga lagda aron masubay ang mga pagbag-o sa piho nga pagtugot sa usa ka butang. Ma-trigger kini kung magdugang mga katungod ug pagtugot sa usa ka butang nga interesado sa domain:
- Ipiho ang ngalan sa lagda
- Ibutang ang kategorya sa "Elevation of Privilege"
- Ibutang ang tipo sa kapanguhaan sa "Tanan nga mga tipo sa kapanguhaan"
- File Server = Mga Serbisyo sa Direktoryo
- Ipiho ang domain nga interesado ka, pananglitan, pinaagi sa ngalan
- Pagdugang usa ka filter aron makadugang mga pagtugot sa usa ka butang nga AD
- Ug ayaw kalimti nga ibilin ang kapilian nga "Pagpangita sa mga butang sa bata" nga wala mapili.
Ug karon ang taho: pagkakita sa mga pagbag-o sa mga katungod sa usa ka butang sa domain
Ang mga pagbag-o sa mga permiso sa usa ka butang sa AD talagsa ra, busa ang bisan unsang hinungdan sa kini nga pasidaan kinahanglan ug kinahanglan nga imbestigahan. Maayo usab nga ideya nga sulayan ang hitsura ug sulud sa taho sa dili pa ilunsad ang lagda mismo sa gubat.
Kini nga taho magpakita usab kung nakompromiso ka na niini nga pag-atake:
Kung ma-aktibo na ang lagda, mahimo nimong imbestigahan ang tanan nga uban pang mga panghitabo sa pagtaas sa pribilehiyo gamit ang interface sa web sa DatAlert:
Sa higayon nga imong ma-configure kini nga lagda, mahimo nimong bantayan ug panalipdan batok niini ug sa susamang mga matang sa kahuyangan sa seguridad, imbestigahan ang mga panghitabo nga adunay mga serbisyo sa direktoryo sa AD, ug mahibal-an kung dali ka ba niining kritikal nga kahuyang.
Source: www.habr.com